Privacy Guidance for Joomla Extensions/de: Difference between revisions

From Joomla! Documentation

← Older edit
Created page with "1 bis 8"
FuzzyBot (talk | contribs)
Bots
226,300 edits
Updating to match new version of source page
 
(154 intermediate revisions by 2 users not shown)
Line 1: Line 1:
<noinclude><languages /></noinclude>
<noinclude><languages /></noinclude>
{{Top portal heading|color=white-bkgd|icon=lock|icon-color=#5091cd|size=3x|text-color=#333|title=
{{Top portal heading|color=white-bkgd|icon=lock|icon-color=#5091cd|size=3x|text-color=#333|title=
Finden Sie / Finde die Achillesferse Ihrer / deiner Erweiterungen<br/> bezüglich Ihrem / deinem Schutz der persönlichen Daten.
Schwachstellen bezüglich des Datenschutzes <br/>in eigenen Erweiterungen finden
}}
}}
{{-}}
{{-}}


Dies ist eine Vorlage für eine Komformitätsprüfung um den Komformitätsgrad der Allgemeinen Datenschutzvorschriften der General Data Protection Regulation Ihrer / deiner Joomla! Erweiterungen festzulegen. Dieser Arbeitsschritt gründet auf dem [https://github.com/joomla/cross-cms-compliance/blob/master/audit-your-software-extension.md Entwurf Version 1] der von Achilleas Papageorgiou ([https://volunteers.joomla.org/teams/compliance-team Joomla! Konformitätsteam]) für die CMS-übergreifende Datenschutzarbeitsgruppe, in der Vertreter der Community von WordPress, Drupal, Umbraco und natürlich Joomla! zusammenarbeiten.  
Dies ist eine Vorlage für eine Prüfung, um die Konformität von Joomla!-Erweiterungen mit den allgemeinen Datenschutzvorschriften der DSGVO zu bewerten. Dieses Verfahren basiert auf dem [https://github.com/joomla/cross-cms-compliance/blob/master/audit-your-software-extension.md Entwurf Version 1] von Achilleas Papageorgiou ([https://volunteers.joomla.org/teams/compliance-team Joomla! Konformitätsteam]) für die CMS-übergreifende Datenschutzarbeitsgruppe, in der Vertreter der Community von WordPress, Drupal, Umbraco und natürlich Joomla! zusammenarbeiten.  


'''Generelle Empfehlung'''
'''Generelle Empfehlung:'''
Dieser Leitfaden bietet mögliche Antworten auf jegliche Frage und man kann davon ausgehen, dass Ihre Erweiterung so weit wie möglich an der ersten Antwort (1.) jeder Frage ausgerichtet sein sollte, obwohl es keine zu erzielenden Punkte für einen Erfolg gibt.
Dieser Leitfaden bietet mögliche Antworten auf verschiedene Fragen. Auch wenn es keinen bestimmten Punktestand für das "Bestehen" gibt: Entwickler von Erweiterungen sollten sich jeweils an der ersten Antwort auf jede Frage orientieren.


'''Wichtiger Hinweis'''
'''Wichtiger Hinweis:'''
Sie sollten sich / du solltest dich nicht ausschließlich auf die folgenden Informationen verlassen, um einen umfassenden Komformitätsplan bezüglich Ihrer / deiner Softwarewerkzeuge und Ihres / deines Unternehmens zu entwerfen. Nichtsdestoweniger kann davon ausgegangen werden, dass die folgenden Informationen einen praktischen und einfachen Weg bieten, die Schwächen Ihrer / deiner Software zu finden und diese basierend auf den Anforderungen der GDPR und durch den zur Verfügung gestellten Link zur Joomla! Dokumentation zu verbessern.  
Entwickler sollten sich nicht ausschließlich auf die folgenden Informationen verlassen, um einen umfassenden Konformitätsplan für ihre Softwarelösungen und ihr Unternehmens zu erstellen. Es kann aber davon ausgegangen werden, dass die folgenden Informationen einen praktischen und einfachen Weg bieten, um die Schwächen von Softwareanwendungen zu finden. Diese können dann - basierend auf den Anforderungen der Datenschutzgrundverordnung und den zur Verfügung gestellten Links zur Joomla! Dokumentation - behoben werden.  
{{-}}
{{-}}




'''Wählen Sie / wähle die Schweregradgruppe Ihrer / deiner Erweiterung bezüglich dem Datenschutz'''
'''Die Dringlichkeitsgruppe der Erweiterung bezüglich des Datenschutzes auswählen'''


{| class="wikitable sortable" style="width:100%; vertical-align:top; border:1px solid Sienna; background-color:Cornsilk;"
{| class="wikitable sortable" style="width:100%; vertical-align:top; border:1px solid Sienna; background-color:Cornsilk;"
|- style="background-color:Wheat; font-weight:bold; text-align: left;"
|- style="background-color:Wheat; font-weight:bold; text-align: left;"
!width=20%|Gruppen
!width=20%|Gruppen
!width=60%|Persönliche-Daten-Verarbeitungsprofil
!width=60%|Verarbeitungsprofil für persönliche Daten
!width=20%|Zugehörige Fragen  
!width=20%|Zugehörige Fragen  
|-
|-
Line 28: Line 28:
|-
|-
| '''Gruppe B'''
| '''Gruppe B'''
| Die Erweiterung soll und darf Daten verarbeiten und speichern, die dazu verwendet werden könnnen, indirekt die Identität einer Person mit den Daten in Verbindung zu bringen,
| Die Erweiterung soll und darf Daten verarbeiten und speichern, die dazu verwendet werden können, indirekt die Identität einer Person mit den Daten in Verbindung zu bringen
| 1 bis 8
| 1 bis 8
|-
|-
| '''Gruppe C'''
| '''Gruppe C'''
| Von der Erweiterung wird erwartet, dass sie personenbezogene Daten verarbeitet oder speichert, mit denen die Identität einer Person direkt verknüpft werden kann
| Die Erweiterung soll und darf personenbezogene Daten verarbeiten oder speichern, mit denen die Identität einer Person direkt verknüpft werden kann
| 1 bis 8
| 1 bis 8
|-
|-
| '''Group D'''
| '''Gruppe D'''
| The extension is expected to process or store personal data and also special categories of personal data that can include, but not limited to
| Die Erweiterung soll und darf personenbezogene Daten verarbeiten oder speichern, einschließlich spezieller Kategorien von personenbezogenen Daten, die unter anderem Folgendes umfassen können:
*race and ethnic origin data,
*Rasse und Daten zur ethnischen Herkunft
*religious data,
*Daten zur Religion
*genetic data,
*genetische Daten
*health data.
*Gesundheitsdaten
| 1 to 8
| 1 bis 8
|-
|-
| '''Group E'''
| '''Gruppe E'''
| The extension is expected to share personal data with at least one third party service
| Es wird erwartet, dass die Erweiterung personenbezogene Daten an mindestens einen Drittanbieter weitergibt
| 1 to 8
| 1 bis 8
|}
|}




== 1. Consent to the use of personal data functionalities==  
== 1. Zustimmung zur Nutzung der Funktionen für personenbezogene Daten==  


*'''Group affected: B, C, D, E'''
*'''Betroffene Gruppen: B, C, D, E'''
*Legal requirement on GDPR: [https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e1489-1-1 Articles 4] (Definition 11), [https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e2254-1-1 13] & [https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e40-1-1 Recitals 32, 42]
<span class="mw-translate-fuzzy">*Gesetzliche Grundlagen in der DSGVO: [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e1489-1-1 Artikel 4] (Definition 11), [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e2254-1-1 13] & [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e40-1-11 Erwägungsgründe 32, 42]</span>


#'''Is there any functionality to collect and log consents from users that submit their personal data?'''
#'''Gibt es eine Funktion, um die Einwilligung von Benutzern, die ihre persönlichen Daten übermitteln, zu erfassen und zu protokollieren?'''
##A consent collection and logging system already exists.
##Ein System zur Erfassung und Protokollierung von Einwilligungen ist bereits vorhanden.
##Such a system partially exists (for example there is a consent checkbox but does not store logs)  
##Ein solches System ist teilweise vorhanden (z. B. gibt es ein Zustimmungskästchen, es speichert jedoch keine Protokolle)  
##There is no consent collection and logging system<br />'''{{rarr}}Recommended Action:''' <br />''A functionality to inform users regarding the privacy policy (upfront the collection of any personal data) and log consents (if not legal basis exists) from users that their personal data are collected and/or processed. A special focus should be given regarding the UX of this functionality to provide a simple and easy flow to users to easily understand all the appropriate information (that Webmasters should provide) and freely provide their consents.''
## Es gibt kein System zur Erfassung und Protokollierung von Einwilligungen.<br />'''{{rarr}}Empfohlene Maßnahme:''' <br />''Eine Funktion, mit der Benutzer über die Datenschutzbestimmungen informiert werden (vor der Erfassung von persönlichen Daten) und Einwilligungen der Nutzer (sofern keine Rechtsgrundlage vorliegt), dass ihre personenbezogenen Daten erhoben und / oder verarbeitet werden, protokolliert. Ein besonderes Augenmerk sollte auf die Benutzererfahrung hinsichtlich dieser Funktion gelegt werden, um den Benutzern einen einfachen und unkomplizierten Ablauf zu ermöglichen, damit sie alle geeigneten Informationen (die Webmaster bereitstellen sollten) leicht verstehen und ihre Einwilligungen frei erteilen können.''
#'''Is there a functionality to allow users to withdraw their consent?'''
#'''Gibt es eine Funktion, mit der Benutzer ihre Zustimmung widerrufen können?'''
##A functionality provides to users the ability to withdraw consent.
##Eine Funktion bietet Benutzern die Möglichkeit, ihre Zustimmung zu widerrufen.
##There is no functionality to withdraw consent. <br />'''{{rarr}}Recommended Action:''' <br />''A functionality that users can use to withdraw any already given consent should provided. A special focus should be given regarding the UX of this functionality to provide a simple and easy flow to users to easily find an easy way to withdraw.''
##Es gibt keine Funktion zum Widerrufen der Zustimmung. <br />'''{{rarr}}Empfohlene Maßnahme''' <br />''Es sollte eine Funktion bereitgestellt werden, mit der Benutzer bereits erteilte Einwilligungen widerrufen können. Ein besonderes Augenmerk sollte auf die Benutzererfahrung mit dieser Funktion gelegt werden, um den Benutzern einen einfachen und unkomplizierten Ablauf zu bieten und eine einfache Möglichkeit für den Widerruf zu finden.''
#'''Is the consent functionality connected to the Joomla core Privacy Component?'''
#'''Ist die Zustimmungsfunktion mit der nativen Joomla-Datenschutz-Komponente verbunden?'''
##Yes, it is connected to the Joomla core Privacy Component.
##Ja, sie ist mit der Datenschutz-Komponente von Joomla verbunden.
##The consent functionality is based on a custom mechanism.
##Die Zustimmungsfunktion basiert auf einem benutzerdefinierten Mechanismus.
##No, it is not. <br />'''{{rarr}}Recommended Action:''' <br />''Empower your compliance efforts by connecting your extension’s functions to Joomla’s core Privacy Component. This will facilitate for site creators to setup a clear and proper consent functionality for Joomla websites. Read [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|here]] how you can make it happen.  
##Nein, das ist sie nicht.<br/>'''{{rarr}}Empfohlene Maßnahme:'''<br/>''Die Funktionen der Erweiterung sollten mit der Datenschutz-Komponente von Joomla verbunden werden. Dies erleichtert es Erstellern von Webseiten, eine klare und korrekte Zustimmungsfunktion für Joomla-Webseiten einzurichten. Weitere Informationen dazu sind [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|hier]] zu finden.''
#'''Does your extension allow the generation of additional consent functionalities (checkboxes) for the up front consent of the users to the use of personal data in case of marketing, profiling, children data, sensitive data?'''
#'''Erlaubt die Erweiterung die Erstellung zusätzlicher Zustimmungsfunktionen (Checkboxen) für die Vorab-Einwilligung der Benutzer zur Verwendung persönlicher Daten für die Bereiche Marketing, Profiling, Kinderdaten, sensiblen Daten?'''
##Yes, there is such functionality that can be used to generate additional consent mechanisms.
##Ja, es gibt Funktionen, die zur Erstellung zusätzlicher Einwilligungsmechanismen verwendet werden können.
##Yes, there is such functionality but with limited options (i.e. you can only add one more).
##Ja, es gibt eine solche Funktion, aber mit begrenzten Optionen (d. h. es kann nur eine weitere hinzugefügt werden).
##No, there is no functionality to generate additional consent functionalities.<br />'''{{rarr}}Recommended Action:''' <br />''A functionality to generate, additional to the 1.1 requirement, consents (if not legal basis exists) from users that need to provide additional consent, such as the processing of special personal data categories that require explicit consent, or to provide their consent for a different scope of processing.''
##Nein, es gibt keine Funktionalität, um zusätzliche Einwilligungsfunktionen zu erstellen.<br/> '''{{rarr}} Empfohlene Maßnahme:'''<br/>''Eine Funktion zur Generierung - zusätzlich zu den Anforderungen unter 1.1 -  von Zustimmungen von Nutzern (falls keine rechtliche Grundlage vorhanden ist), die eine zusätzliche Einwilligung geben müssen, wie z. B. zur Verarbeitung spezieller persönlicher Datenkategorien, die eine ausdrückliche Einwilligung erfordern, oder um ihre Zustimmung für einen anderen Verarbeitungsbereich zu erteilen.''


== 2. Consent for Cookies collecting personal data ==  
== 2. Zustimmung zu Cookies, die persönliche Daten sammeln ==  


*'''Group affected: B, C, D, E'''
*'''Betroffene Gruppen: B, C, D, E'''


#'''If your extension uses cookies that process personal data, is there a functionality for the up front consent by the user in case the software installs cookies that are collecting any personal data?'''
#'''Wenn die Erweiterung Cookies verwendet, die persönliche Daten verarbeiten: Gibt es dann eine Funktion für die vorherige Zustimmung des Benutzers zur Installation von Cookies, die persönliche Daten sammeln?'''
##Yes there is such functionality.
##Ja, es gibt eine solche Funktion.
##No, there is no functionality for cookies, but there is an informational notice in order for the webmaster to use such a functionality
##Nein, es gibt keine Funktion für Cookies, aber es gibt einen Hinweis für den Webmaster, dass er eine solche Funktionalität nutzen sollte.
##No, there is no such functionality.<br />'''{{rarr}}Recommended Action:''' <br />''A functionality should exist to provide users with the ability to upfront the installation consent to cookies. Empower your compliance efforts by connecting your extension’s functions to Joomla’s core Privacy Component. Read [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|here]] how you can make it happen.''
##Nein, es gibt keine solche Funktion.<br/>'''{{rarr}} Empfohlene Maßnahme:'''<br/>''Es sollte eine Funktion vorhanden sein, die den Benutzern die Möglichkeit bietet, die Zustimmung zu Cookies vor deren Installation zu erteilen. Die Funktionen der Erweiterung sollten mit der Datenschutzkomponente von Joomla verbunden werden. [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|Hier]] sind weitere Informationen zum Thema zu finden.''
#If a functionality to collect consents is provided, is there also a functionality for the user/s to withdraw their consent?
#'''Wenn eine Funktion zum Erfassen von Einwilligungen verfügbar ist: Gibt es dann auch eine Funktion für Benutzer, um die Einwilligung zurückzuziehen?'''
##Yes, there is such functionality
##Ja, es gibt eine solche Funktion
##No, there is no functionality for that, but there is an informational notice for the webmaster to use such a functionality.<br />'''{{rarr}}Recommended Action:''' <br />''A functionality should exist to allow users to withdraw their already given consent to cookies. Empower your compliance efforts by connecting your extension’s functions to Joomla’s core Privacy Component. Read [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|here]] how you can make it happen.''
##Nein, dafür gibt es keine Funktion, aber es gibt einen Hinweis für den Webmaster, dass eine solche Funktion genutzt werden sollte.<br/>'''{{rarr}}Empfohlene Maßnahme:'''<br/>''Es sollte eine Funktion vorhanden sein, die es den Benutzern ermöglicht, ihre bereits gegebene Zustimmung zu Cookies zurückzuziehen. Die Einhaltung der Vorschriften sollte verbessert werden, indem die Funktionen der Erweiterung mit der Datenschutzkomponente von Joomla verbunden werden. [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|Hier]] sind mehr Informationen zum Thema zu finden.''


== 3. Right to Data Portability ==
== 3. Recht auf Datenportabilität ==


*'''Group affected: B, C, D, E'''
*'''Betroffene Gruppen: B, C, D, E'''
*Legal requirement on GDPR: [https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e2753-1-1 Article 20]  
*Gesetzliche Grundlage in der DSGVO: [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e2768-1-1 Artikel 20]  


#'''Is there a functionality that gives users the ability to request and download their data?'''
#'''Gibt es eine Funktion, die es den Benutzern ermöglicht, ihre Daten anzufordern und herunterzuladen?'''
##Yes, there is such functionality.
##Ja, es gibt eine solche Funktion
##Yes, but partially.
##Ja, aber nur teilweise.
##No, there is no functionality for that.<br />'''{{rarr}}Recommended Action:''' <br />''A functionality should exist to provide users with the ability to request and download their data. Empower your compliance efforts by connecting your extension’s functions to the Joomla’s core API. Read [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|here]] how you can make it happen.''
##Nein, es gibt keine solche Funktion.<br/>'''{{rarr}} Empfohlene Maßnahme:'''<br/>''Es sollte eine Funktion vorhanden sein, die den Benutzern die Möglichkeit bietet, ihre Daten anzufordern und herunterzuladen. Die Funktionen der Erweiterung sollten mit der Datenschutzkomponente von Joomla verbunden werden. [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|Hier]] sind weitere Informationen zum Thema zu finden.''
#Is the file that is downloaded in a machine readable format (for example XML, CSV)?
#'''Ist die Datei, die heruntergeladen wird, in einem maschinenlesbaren Format (z. B. XML, CSV)?'''
##Yes, it is.
##Ja, das ist sie.
## No it isn’t.<br />'''{{rarr}}Recommended Action:''' <br />''A functionality should exist to allow users request and download their data to a machine readable format (for example XML, CSV). Empower your compliance efforts by connecting your extension’s functions to Joomla’s core API. Read [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|here]] how you can make it happen.''
##Nein, es gibt keine solche Funktion.<br/>'''{{rarr}} Empfohlene Maßnahme:'''<br/>''Es sollte eine Funktion vorhanden sein, die den Benutzern die Möglichkeit bietet, ihre Daten anzufordern und in einem maschinenlesbaren Format (z. B. XML, CSV) herunterzuladen. Die Funktionen der Erweiterung sollten mit der Datenschutzkomponente von Joomla verbunden werden. [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|Hier]] sind weitere Informationen zum Thema zu finden.''


== 4. Right of Access by the data subject ==
== 4. Auskunftsrecht der betroffenen Person ==
*'''Group affected: B, C, D, E'''
*'''Betroffene Gruppen: B, C, D, E'''
*Legal requirement on GDPR: [https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e2599-1-1 Article 16]
*Gesetzliche Grundlage in der DSGVO: [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e2768-1-1 Artikel 16]


#'''In case the extension collects personal data, does the extension provides a dashboard to the users with settings to edit their personal data?'''
#'''Falls die Erweiterung persönliche Daten sammelt: Stellt sie den Benutzern ein Dashboard mit Einstellungen zur Bearbeitung ihrer persönlichen Daten zur Verfügung?'''
##Yes, it provides.
##Ja, diese Funktion ist vorhanden.
##Yes, there is but partially.
##Ja, aber nur teilweise.
##No, there isn’t.<br />'''{{rarr}}Recommended Action:''' <br />''A view should exist to provide users with the ability to preview and edit their data.''  
##Nein, das gibt es nicht.<br/>{{rarr}}'''Empfohlene Maßnahme:'''<br/>''Es sollte eine Ansicht vorhanden sein, die den Benutzern die Möglichkeit bietet, ihre Daten in einer Vorschau anzuzeigen und zu bearbeiten.''  


==5. Right to be Forgotten ==
== 5. Recht auf Vergessen werden ==
*'''Group affected: B, C, D, E'''
*'''Betroffene Gruppen: B, C, D, E'''
* Legal requirement on GDPR: [https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e2606-1-1 Article 17], Recital [https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e40-1-1 65]
* Gesetzliche Grundlage in der DSGVO: [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e2606-1-1 Artikel 17], Erwägungsgrund [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e40-1-1 65]


#'''Is there a functionality that offers to users the request to remove/delete all of their data?'''
#'''Gibt es eine Funktion, die den Benutzern die Möglichkeit bietet, alle ihre Daten zu entfernen/zu löschen?'''
##There is.
##Ja, die gibt es.
##There is, but partially.
##Ja, aber nur teilweise.
##There isn’t.<br />'''{{rarr}}Recommended Action:''' <br />''A functionality and an easy to use flow should be provided to users to submit deletion requests. At the same time a procedure for the Webmasters to manage those requests should exists at the administration side of their websites. Empower your compliance efforts by connecting your extension’s functions to Joomla’s core API. Read [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|here]] how you can make it happen.''
##Es gibt sie nicht.<br/>{{rarr}}'''Empfohlene Maßnahme:'''<br/>''Den Benutzern sollte eine Funktion und ein unkomplizierter Prozess zur Verfügung gestellt werden, um Löschanträge einzureichen. Gleichzeitig sollte ein Verfahren für die Webmaster zur Verwaltung dieser Anträge auf der Verwaltungsseite ihrer Websites vorhanden sein. Die Funktionen der Erweiterung sollten mit der Datenschutzkomponente von Joomla verbunden werden. [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|Hier]] sind weitere Informationen zum Thema zu finden.''
#'''Does the extension include an uninstall operation to your extensions code to successfully delete all the previous collected users’ data once the Super User decides to uninstall it?'''
#'''Beinhaltet die Erweiterung einen Deinstallationsvorgang für den Erweiterungscode, um alle zuvor erfassten Benutzerdaten erfolgreich zu löschen, sobald der Super User sich für die Deinstallation entscheidet?'''
##Yes, this operation is included.
##Ja, dieser Vorgang ist möglich.
##No, there isn’t.<br />'''{{rarr}}Recommended Action:''' <br />''You should use the proposed steps [[S:MyLanguage/J3.2:Developing_an_MVC_Component/Adding_an_install-uninstall-update_script_file|here]] to successfully include the uninstall operation and also include any code and files needed based on the Joomla MVC to succeed the complete deletion. Don’t forget to include database tables with users’ data to the uninstall process.''
##Nein, ist sie nicht.<br/>'''Empfohlene Maßnahme:'''<br/>''Die [[S:MyLanguage/J3.2:Developing_an_MVC_Component/Adding_an_install-uninstall-update_script_file|hier]] vorgeschlagenen Schritte können verwendet werden, um den Deinstallationsvorgang erfolgreich durchzuführen und jeglichen Code und alle Dateien einzubeziehen, die auf der Basis des Joomla-MVC für eine vollständige Löschung benötigt werden. Vergessen Sie nicht, die Datenbanktabellen mit den Daten der Benutzer in den Deinstallationsprozess einzubinden.''


==6. Privacy by Default==
== 6. Standardmäßiger Datenschutz ==
*'''Group affected: B, C, D, E'''
*'''Betroffene Gruppen: B, C, D, E'''
*Legal requirement on GDPR: [https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e3063-1-1 Article 25]
*Gesetzliche Grundlage in der DSGVO: [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e3063-1-1 Artikel 25]


#'''Does the software have all the settings set to the most private possible due to its scope?'''
#'''Hat die Software alle Einstellungen entsprechend ihres Anwendungsbereichs auf das höchstmögliche Datenschutzniveau gesetzt?'''
##Yes, the default settings are in the most private.
##Ja, die Standardeinstellungen sind auf die Einstellung mit dem höchstmöglichen Datenschutzniveau gesetzt.
##No, the default settings are not in the most private.<br />'''{{rarr}}Recommended Action:''' <br />''All the settings regarding the personal data collection/processing/storage should be set to the most private possible due to its scope of processing.''
##Nein, die Standardeinstellungen sind nicht auf die privateste Einstellung eingestellt.<br/>'''{{rarr}}Empfohlene Maßnahme:'''<br/>''Alle Einstellungen bezüglich der Sammlung, Verarbeitung und Speicherung von persönlichen Daten sollten entsprechend des Umfangs der Verarbeitung auf die Einstellungen mit dem höchstmöglichen Datenschutz gesetzt werden.''
#'''Is the extension collecting personal data that is not needed/being used currently?'''
#'''Sammelt die Erweiterung personenbezogene Daten, die derzeit nicht benötigt/verwendet werden?'''
##Yes, the extension collects only the minimum needed to offer to Super Users and users the expected functionalities.
##Ja, die Erweiterung sammelt nur das Minimum, das für die Funktionen für Superuser und Benutzer nötig ist.
##The extension collects by default additional information that could potentially be used by Super Users.<br />'''{{rarr}}Recommended Action:''' <br />''The extension should, by default, collect only the strictly needed users data that are mandatory to be functional based on its description. Any additional features that result to data collection (for example the IP collection) should be by default set OFF. the extension should provide a dashboard to let administrators manage those settings based on their needs and Privacy policies.''
##Die Erweiterung sammelt standardmäßig zusätzliche Informationen, die möglicherweise von Superusern verwendet werden könnten.<br/>'''{{rarr}}Empfohlene Maßnahme:'''<br/>''Die Erweiterung sollte standardmäßig nur die unbedingt erforderlichen Benutzerdaten sammeln, die gemäß ihrer Beschreibung für die Funktionsfähigkeit zwingend erforderlich sind. Alle zusätzlichen Funktionen, die sich aus der Datenerfassung ergeben (z. B. die Erfassung von IP-Adressen), sollten standardmäßig auf AUS gesetzt sein. Die Erweiterung sollte ein Dashboard bereitstellen, damit Administratoren diese Einstellungen entsprechend ihren Bedürfnissen und Datenschutzrichtlinien verwalten können.''


==7. Security Measures==
== 7. Sicherheitsmaßnahmen ==
*'''Group affected: A, B, C, D, E'''
*'''Betroffene Gruppen: A, B, C, D, E'''
*Legal requirement on GDPR: [https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e3383-1-1 Article 32], [https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e40-1-1 Recitals 6 and 78]
* Gesetzliche Grundlagen in der DSGVO: [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e3383-1-1 Artikel 32], [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e40-1-1 Erwägungsgründe 6 und 78]


#'''Is there secure transmission for all the resources used by the functionality?'''
#'''Gibt es eine sichere Übertragung für alle von der Funktion genutzten Ressourcen?'''
##Yes, all the requests are under HTTPS (TLS).
##Ja, alle Anfragen werden über HTTPS (TLS) abgewickelt.
##Some of the resources transmit information insecurely.
##Einige der Ressourcen übertragen Informationen auf unsichere Weise.
##All the resources transmit information insecurely. <br />'''{{rarr}}Recommended Action:''' <br />''All the used resources, local or called via a third party host, should transmit data only through encrypted connections.You could inspect the HTTP requests through your browser or even use a tool for that like [https://www.screamingfrog.co.uk/seo-spider/ Screaming Frog]. You should always use well configured certificates on your web servers to ensure secure transmission. In case your extension requests from or transmits data to a web server/s, you can run a test to ensure the security of the certificate used and configuration of this server. There are many tools and services to help you on that, for example you can use [https://www.ssllabs.com/ssltest/ SSL Server Test]. ''  
##Alle Ressourcen übertragen Informationen auf unsichere Art und Weise.<br/>'''Empfohlene Maßnahme:'''<br/>''Alle verwendeten Ressourcen, ob lokal oder über einen Drittanbieter-Host, sollten Daten nur über verschlüsselte Verbindungen übertragen. Die HTTP-Requests des Browser sollten überprüft werden, unter Umständen mit einem Tool wie [https://www.screamingfrog.co.uk/seo-spider/ Screaming Frog]. Auf Webservern sollten immer gut konfigurierte Zertifikate auf Ihren Webservern verwendet werden, um eine sichere Übertragung zu gewährleisten. Falls die Erweiterung Daten von einem Webserver anfordert oder an ihn überträgt, kann ein Test durchgeführt werden, um die Sicherheit des verwendeten Zertifikats und der Konfiguration dieses Servers zu gewährleisten. Es gibt viele Werkzeuge und Dienste, die dabei helfen, z.B. [https://www.ssllabs.com/ssltest/ SSL Server Test].''  
#'''If your extension will be used to store special personal data categories (like those described in Group D), is the data stored encrypted?'''
#'''Wenn die Erweiterung zur Speicherung spezieller persönlicher Datenkategorien (wie die in Gruppe D beschriebenen) verwendet wird: Werden die Daten dann verschlüsselt gespeichert?'''
##Yes, data can be stored encrypted.
##Ja, die Daten können verschlüsselt gespeichert werden.
##Only part of the data can be stored encrypted.
##Nur ein Teil der Daten kann verschlüsselt gespeichert werden.
##No, no data are encrypted by the extension.<br />'''{{rarr}}Recommended Action:''' <br />''To empower the compliance level of your extension you could use encryption functions to encrypt the data in the database. This will make your extension more suitable to be used by websites that want to apply and prove strict security measures. View on [https://github.com/joomla/joomla-cms/tree/staging/libraries/src/Crypt GitHub] to learn how you can make it happen.''  
##Nein, die Erweiterung verschlüsselt keine Daten.<br/>'''{{rarr}}Empfohlene Maßnahme:'''<br/>''Um die Konformität der Erweiterung zu erhöhen, sollten Verschlüsselungsfunktionen verwendet werden, um die Daten in der Datenbank zu verschlüsseln. Dadurch wird die Erweiterung mit höherer Wahrscheinlichkeit von Websites verwendet, die strenge Sicherheitsmaßnahmen anwenden und nachweisen wollen. Auf [https://github.com/joomla/joomla-cms/tree/staging/libraries/src/Crypt GitHub] sind weitere Informationen zum Thema zu finden.''  
#'''If there is a need to apply anonymization techniques are they applied?'''
#'''Werden bei Bedarf Anonymisierungstechniken angewendet?'''
##Yes, data can be anonymized.
##Ja, Daten können anonymisiert werden.
##Some of the data can be partially anonymized.
##Einige der Daten können teilweise anonymisiert werden.
##No, there is no ability to anonymize data.<br />'''{{rarr}}Recommended Action:''' <br />''You can use anonymization functions for the collected data. This will make your extension more suitable to be used by websites that want to apply and prove strict security measures. Read [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|here]] how you can make it happen.''  
##Nein, es gibt keine Möglichkeit, Daten zu anonymisieren.<br/>'''{{rarr}}Empfohlene Maßnahme:'''<br/>''Es können Anonymisierungsfunktionen für die gesammelten Daten verwendet werden. Dadurch wird die Erweiterung mit höherer Wahrscheinlichkeit von Websites verwendet, die strenge Sicherheitsmaßnahmen anwenden und nachweisen wollen. [[S:MyLanguage/J3.x:Integrate_Extensions_with_the_Privacy_Component|Hier]] sind weitere Informationen zum Thema zu finden.''  


==8. (In case of) Third parties/Sub-processors==
== 8. Einsatz von Drittparteien oder Dritten als Datenverarbeiter ==
*'''Group affected: A, B, C, D, E'''
*'''Betroffene Gruppen: A, B, C, D, E'''
*Legal requirement on GDPR: [https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e40-1-1 Recitals 58 and 78]
*Gesetzliche Grundlage in der DSGVO: [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e40-1-1 Erwägungsgründe 58 und 78]


#'''In case you use third parties to provide a service or a functionality, have you included it to your third parties or sub-processors list?'''
#'''Falls zur Bereitstellung einer Dienstleistung oder einer Funktionalität eine Drittpartei eingesetzt wird: Wurde diese in die Liste der Dritt- oder Subunternehmer aufgenommen?'''
##Yes, there is a list of all third parties.
##Ja, es gibt eine Liste mit allen Drittparteien.
##No, there is no list of third parties or the list is not full.<br />'''{{rarr}}Recommended Action:''' <br />''You should provide a list with all the third party services used by your extension in order to make easier for the Webmasters to also include them to their Processors list in their websites Privacy Policy.''
##Nein, es gibt keine Liste von Drittparteien oder die Liste ist nicht vollständig.<br/>'''{{rarr}}Empfohlene Maßnahme:'''<br/>''Es sollte eine Liste mit allen Dienstleistungen von Drittparteien, die von der Erweiterung genutzt werden, zur Verfügung stehen. Das macht es Webmastern leichter, sie auch in die Liste der Verarbeiter in ihrer Datenschutzrichtlinie für die Website aufzunehmen.''
#'''In case you use third parties, do you provide a notice including a link to the Data Protection Agreement/Addendum (DPA) of the third parties used by your extension for the Webmasters that will use it to find it easy to sign them? Even if the third party does not collect any personal data, an agreement for that should exist.'''
#'''Falls Dienstleistungen von Drittparteien verwendet werden: Existiert ein Hinweis mit einem Link zum Datenschutzabkommen/Addendum (DPA) der von Ihrer Erweiterung benutzten Drittanbieter für die Webmaster? Ist dieser Hinweis leicht zu finden und zu unterzeichnen? Auch wenn die dritte Partei keine persönlichen Daten sammelt, sollte eine Vereinbarung darüber bestehen.'''
##Yes, with all the third parties.
##Ja, für alle Drittparteien.
##Yes, with some of the third parties.
##Ja, für einige Drittparteien.
##No, there is no DPA signed.<br />'''{{rarr}}Recommended Action:''' <br />''You should provide a notice including a link to the Data Protection Agreements/Addendums of the third parties used by your extension in order to for the Webmasters that will use it to find it easy to sign them. This will help them review, audit and provide information to their users regarding the compliance of those third parties. ''
##Nein, es ist keine DPA unterzeichnet.<br/>'''{{rarr}}Empfohlene Maßnahme:'''<br/>''Es sollte ein Hinweis mit einem Link zu den Datenschutzvereinbarungen/Zusätzen der von der Erweiterung verwendeten Dritten bereitgestellt werden. So können die Webmaster, die diese verwenden werden, diese Vereinbarung leicht unterschreiben. Dies wird ihnen helfen, die Einhaltung der Datenschutzvereinbarungen durch diese Dritten zu überprüfen und ihren Nutzern Informationen zur Verfügung zu stellen.''


==Further reading==
== Weiterführende Informationen ==


*[[S:MyLanguage/Secure_coding_guidelines|Secure coding guidelines], Joomla Documentation  
*[[S:MyLanguage/Secure_coding_guidelines|Secure coding guidelines]], Joomla-Dokumentation  
*Compliance audit template to map the GDPR compliance level of your software extension, Cross-CMS Coalition Online at: https://git.io/fjww3   
*Vorlage für Konformitäts-Audits zur Bestimmung des DSGVO-Compliance-Levels von Software-Erweiterungen, Cross-CMS Coalition Online unter: https://git.io/fjww3   
*Papageorgiou A., Strigkos M., Politou E., Alepis E., Solanas S., Patsakis C., Security and privacy analysis of mobile health applications: The alarming state of practice: https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=8272037. This work was supported by the European Commission under the Horizon 2020 Programme (H2020), as part of the OPERANDO project (Grant Agreement no. 653704) and the CRYPTACUS COST action (COST Action IC1403).
*Papageorgiou A., Strigkos M., Politou E., Alepis E., Solanas S., Patsakis C., Security and privacy analysis of mobile health applications: The alarming state of practice: https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=8272037. Diese Studie wurde von der Europäischen Kommission im Rahmen des Programms Horizont 2020 (H2020), als Teil des OPERANDO-Projekts (Grant Agreement Nr. 653704) und der CRYPTACUS COST-Aktion (COST Action IC1403) unterstützt.
*Open Source Privacy Standards, by Heather Burns (webdevlaw): https://git.io/fjwwG  
*Open Source Privacy Standards, von Heather Burns (webdevlaw): https://git.io/fjwwG  
*Nutricati A. and Papageorgiou A., GDPR Overview: Decrypting the regulation in series: https://magazine.joomla.org/issues/issue-feb-2018/item/3306-gdpr-overview-decrypting-the-regulation-in-series  
*Nutricati A. and Papageorgiou A., GDPR Overview: Decrypting the regulation in series: https://magazine.joomla.org/issues/issue-feb-2018/item/3306-gdpr-overview-decrypting-the-regulation-in-series  
*Papageorgiou A., GDPR Awareness: From privacy risks to the need for countermeasures: https://magazine.joomla.org/issues/issue-mar-2018/item/3314-gdpr-awareness-from-privacy-risks-to-the-need-for-countermeasures  
*Papageorgiou A., GDPR Awareness: From privacy risks to the need for countermeasures: https://magazine.joomla.org/issues/issue-mar-2018/item/3314-gdpr-awareness-from-privacy-risks-to-the-need-for-countermeasures  
Line 168: Line 168:




'''Contributors'''
'''Mitwirkende'''
*Author: [https://volunteers.joomla.org/joomlers/2399-achilleas-papageorgiou Achilleas Papageorgiou], Team Leader of Compliance Team
*Autor: [https://volunteers.joomla.org/joomlers/2399-achilleas-papageorgiou Achilleas Papageorgiou], Teamleiter des Compliance-Teams
*Contributors: [https://volunteers.joomla.org/joomlers/312-luca-marzo Luca Marzo], [https://volunteers.joomla.org/joomlers/60-sander-potjer Sander Potjer], [https://volunteers.joomla.org/joomlers/155-roland-dalmulder Roland Dalmulder]
*Mitwirkende: [https://volunteers.joomla.org/joomlers/312-luca-marzo Luca Marzo], [https://volunteers.joomla.org/joomlers/60-sander-potjer Sander Potjer], [https://volunteers.joomla.org/joomlers/155-roland-dalmulder Roland Dalmulder]


<noinclude>
<noinclude>

Latest revision as of 00:50, 30 January 2021

Other languages:
Schwachstellen bezüglich des Datenschutzes
in eigenen Erweiterungen finden

Dies ist eine Vorlage für eine Prüfung, um die Konformität von Joomla!-Erweiterungen mit den allgemeinen Datenschutzvorschriften der DSGVO zu bewerten. Dieses Verfahren basiert auf dem Entwurf Version 1 von Achilleas Papageorgiou (Joomla! Konformitätsteam) für die CMS-übergreifende Datenschutzarbeitsgruppe, in der Vertreter der Community von WordPress, Drupal, Umbraco und natürlich Joomla! zusammenarbeiten.

Generelle Empfehlung: Dieser Leitfaden bietet mögliche Antworten auf verschiedene Fragen. Auch wenn es keinen bestimmten Punktestand für das "Bestehen" gibt: Entwickler von Erweiterungen sollten sich jeweils an der ersten Antwort auf jede Frage orientieren.

Wichtiger Hinweis: Entwickler sollten sich nicht ausschließlich auf die folgenden Informationen verlassen, um einen umfassenden Konformitätsplan für ihre Softwarelösungen und ihr Unternehmens zu erstellen. Es kann aber davon ausgegangen werden, dass die folgenden Informationen einen praktischen und einfachen Weg bieten, um die Schwächen von Softwareanwendungen zu finden. Diese können dann - basierend auf den Anforderungen der Datenschutzgrundverordnung und den zur Verfügung gestellten Links zur Joomla! Dokumentation - behoben werden.


Die Dringlichkeitsgruppe der Erweiterung bezüglich des Datenschutzes auswählen

Gruppen Verarbeitungsprofil für persönliche Daten Zugehörige Fragen
Gruppe A Die Erweiterung soll keine persönlichen Daten verarbeiten oder speichern. 7 und 8
Gruppe B Die Erweiterung soll und darf Daten verarbeiten und speichern, die dazu verwendet werden können, indirekt die Identität einer Person mit den Daten in Verbindung zu bringen 1 bis 8
Gruppe C Die Erweiterung soll und darf personenbezogene Daten verarbeiten oder speichern, mit denen die Identität einer Person direkt verknüpft werden kann 1 bis 8
Gruppe D Die Erweiterung soll und darf personenbezogene Daten verarbeiten oder speichern, einschließlich spezieller Kategorien von personenbezogenen Daten, die unter anderem Folgendes umfassen können:
  • Rasse und Daten zur ethnischen Herkunft
  • Daten zur Religion
  • genetische Daten
  • Gesundheitsdaten
 1 bis 8
Gruppe E Es wird erwartet, dass die Erweiterung personenbezogene Daten an mindestens einen Drittanbieter weitergibt 1 bis 8


1. Zustimmung zur Nutzung der Funktionen für personenbezogene Daten

  • Betroffene Gruppen: B, C, D, E

*Gesetzliche Grundlagen in der DSGVO: Artikel 4 (Definition 11), 13 & Erwägungsgründe 32, 42

  1. Gibt es eine Funktion, um die Einwilligung von Benutzern, die ihre persönlichen Daten übermitteln, zu erfassen und zu protokollieren?
    1. Ein System zur Erfassung und Protokollierung von Einwilligungen ist bereits vorhanden.
    2. Ein solches System ist teilweise vorhanden (z. B. gibt es ein Zustimmungskästchen, es speichert jedoch keine Protokolle)
    3. Es gibt kein System zur Erfassung und Protokollierung von Einwilligungen.
        Empfohlene Maßnahme:
      Eine Funktion, mit der Benutzer über die Datenschutzbestimmungen informiert werden (vor der Erfassung von persönlichen Daten) und Einwilligungen der Nutzer (sofern keine Rechtsgrundlage vorliegt), dass ihre personenbezogenen Daten erhoben und / oder verarbeitet werden, protokolliert. Ein besonderes Augenmerk sollte auf die Benutzererfahrung hinsichtlich dieser Funktion gelegt werden, um den Benutzern einen einfachen und unkomplizierten Ablauf zu ermöglichen, damit sie alle geeigneten Informationen (die Webmaster bereitstellen sollten) leicht verstehen und ihre Einwilligungen frei erteilen können.
  2. Gibt es eine Funktion, mit der Benutzer ihre Zustimmung widerrufen können?
    1. Eine Funktion bietet Benutzern die Möglichkeit, ihre Zustimmung zu widerrufen.
    2. Es gibt keine Funktion zum Widerrufen der Zustimmung.
        Empfohlene Maßnahme
      Es sollte eine Funktion bereitgestellt werden, mit der Benutzer bereits erteilte Einwilligungen widerrufen können. Ein besonderes Augenmerk sollte auf die Benutzererfahrung mit dieser Funktion gelegt werden, um den Benutzern einen einfachen und unkomplizierten Ablauf zu bieten und eine einfache Möglichkeit für den Widerruf zu finden.
  3. Ist die Zustimmungsfunktion mit der nativen Joomla-Datenschutz-Komponente verbunden?
    1. Ja, sie ist mit der Datenschutz-Komponente von Joomla verbunden.
    2. Die Zustimmungsfunktion basiert auf einem benutzerdefinierten Mechanismus.
    3. Nein, das ist sie nicht.
        Empfohlene Maßnahme:
      Die Funktionen der Erweiterung sollten mit der Datenschutz-Komponente von Joomla verbunden werden. Dies erleichtert es Erstellern von Webseiten, eine klare und korrekte Zustimmungsfunktion für Joomla-Webseiten einzurichten. Weitere Informationen dazu sind hier zu finden.
  4. Erlaubt die Erweiterung die Erstellung zusätzlicher Zustimmungsfunktionen (Checkboxen) für die Vorab-Einwilligung der Benutzer zur Verwendung persönlicher Daten für die Bereiche Marketing, Profiling, Kinderdaten, sensiblen Daten?
    1. Ja, es gibt Funktionen, die zur Erstellung zusätzlicher Einwilligungsmechanismen verwendet werden können.
    2. Ja, es gibt eine solche Funktion, aber mit begrenzten Optionen (d. h. es kann nur eine weitere hinzugefügt werden).
    3. Nein, es gibt keine Funktionalität, um zusätzliche Einwilligungsfunktionen zu erstellen.
         Empfohlene Maßnahme:
      Eine Funktion zur Generierung - zusätzlich zu den Anforderungen unter 1.1 - von Zustimmungen von Nutzern (falls keine rechtliche Grundlage vorhanden ist), die eine zusätzliche Einwilligung geben müssen, wie z. B. zur Verarbeitung spezieller persönlicher Datenkategorien, die eine ausdrückliche Einwilligung erfordern, oder um ihre Zustimmung für einen anderen Verarbeitungsbereich zu erteilen.

2. Zustimmung zu Cookies, die persönliche Daten sammeln

  • Betroffene Gruppen: B, C, D, E
  1. Wenn die Erweiterung Cookies verwendet, die persönliche Daten verarbeiten: Gibt es dann eine Funktion für die vorherige Zustimmung des Benutzers zur Installation von Cookies, die persönliche Daten sammeln?
    1. Ja, es gibt eine solche Funktion.
    2. Nein, es gibt keine Funktion für Cookies, aber es gibt einen Hinweis für den Webmaster, dass er eine solche Funktionalität nutzen sollte.
    3. Nein, es gibt keine solche Funktion.
         Empfohlene Maßnahme:
      Es sollte eine Funktion vorhanden sein, die den Benutzern die Möglichkeit bietet, die Zustimmung zu Cookies vor deren Installation zu erteilen. Die Funktionen der Erweiterung sollten mit der Datenschutzkomponente von Joomla verbunden werden. Hier sind weitere Informationen zum Thema zu finden.
  2. Wenn eine Funktion zum Erfassen von Einwilligungen verfügbar ist: Gibt es dann auch eine Funktion für Benutzer, um die Einwilligung zurückzuziehen?
    1. Ja, es gibt eine solche Funktion
    2. Nein, dafür gibt es keine Funktion, aber es gibt einen Hinweis für den Webmaster, dass eine solche Funktion genutzt werden sollte.
        Empfohlene Maßnahme:
      Es sollte eine Funktion vorhanden sein, die es den Benutzern ermöglicht, ihre bereits gegebene Zustimmung zu Cookies zurückzuziehen. Die Einhaltung der Vorschriften sollte verbessert werden, indem die Funktionen der Erweiterung mit der Datenschutzkomponente von Joomla verbunden werden. Hier sind mehr Informationen zum Thema zu finden.

3. Recht auf Datenportabilität

  • Betroffene Gruppen: B, C, D, E
  • Gesetzliche Grundlage in der DSGVO: Artikel 20
  1. Gibt es eine Funktion, die es den Benutzern ermöglicht, ihre Daten anzufordern und herunterzuladen?
    1. Ja, es gibt eine solche Funktion
    2. Ja, aber nur teilweise.
    3. Nein, es gibt keine solche Funktion.
         Empfohlene Maßnahme:
      Es sollte eine Funktion vorhanden sein, die den Benutzern die Möglichkeit bietet, ihre Daten anzufordern und herunterzuladen. Die Funktionen der Erweiterung sollten mit der Datenschutzkomponente von Joomla verbunden werden. Hier sind weitere Informationen zum Thema zu finden.
  2. Ist die Datei, die heruntergeladen wird, in einem maschinenlesbaren Format (z. B. XML, CSV)?
    1. Ja, das ist sie.
    2. Nein, es gibt keine solche Funktion.
         Empfohlene Maßnahme:
      Es sollte eine Funktion vorhanden sein, die den Benutzern die Möglichkeit bietet, ihre Daten anzufordern und in einem maschinenlesbaren Format (z. B. XML, CSV) herunterzuladen. Die Funktionen der Erweiterung sollten mit der Datenschutzkomponente von Joomla verbunden werden. Hier sind weitere Informationen zum Thema zu finden.

4. Auskunftsrecht der betroffenen Person

  • Betroffene Gruppen: B, C, D, E
  • Gesetzliche Grundlage in der DSGVO: Artikel 16
  1. Falls die Erweiterung persönliche Daten sammelt: Stellt sie den Benutzern ein Dashboard mit Einstellungen zur Bearbeitung ihrer persönlichen Daten zur Verfügung?
    1. Ja, diese Funktion ist vorhanden.
    2. Ja, aber nur teilweise.
    3. Nein, das gibt es nicht.
        Empfohlene Maßnahme:
      Es sollte eine Ansicht vorhanden sein, die den Benutzern die Möglichkeit bietet, ihre Daten in einer Vorschau anzuzeigen und zu bearbeiten.

5. Recht auf Vergessen werden

  • Betroffene Gruppen: B, C, D, E
  • Gesetzliche Grundlage in der DSGVO: Artikel 17, Erwägungsgrund 65
  1. Gibt es eine Funktion, die den Benutzern die Möglichkeit bietet, alle ihre Daten zu entfernen/zu löschen?
    1. Ja, die gibt es.
    2. Ja, aber nur teilweise.
    3. Es gibt sie nicht.
        Empfohlene Maßnahme:
      Den Benutzern sollte eine Funktion und ein unkomplizierter Prozess zur Verfügung gestellt werden, um Löschanträge einzureichen. Gleichzeitig sollte ein Verfahren für die Webmaster zur Verwaltung dieser Anträge auf der Verwaltungsseite ihrer Websites vorhanden sein. Die Funktionen der Erweiterung sollten mit der Datenschutzkomponente von Joomla verbunden werden. Hier sind weitere Informationen zum Thema zu finden.
  2. Beinhaltet die Erweiterung einen Deinstallationsvorgang für den Erweiterungscode, um alle zuvor erfassten Benutzerdaten erfolgreich zu löschen, sobald der Super User sich für die Deinstallation entscheidet?
    1. Ja, dieser Vorgang ist möglich.
    2. Nein, ist sie nicht.
      Empfohlene Maßnahme:
      Die hier vorgeschlagenen Schritte können verwendet werden, um den Deinstallationsvorgang erfolgreich durchzuführen und jeglichen Code und alle Dateien einzubeziehen, die auf der Basis des Joomla-MVC für eine vollständige Löschung benötigt werden. Vergessen Sie nicht, die Datenbanktabellen mit den Daten der Benutzer in den Deinstallationsprozess einzubinden.

6. Standardmäßiger Datenschutz

  • Betroffene Gruppen: B, C, D, E
  • Gesetzliche Grundlage in der DSGVO: Artikel 25
  1. Hat die Software alle Einstellungen entsprechend ihres Anwendungsbereichs auf das höchstmögliche Datenschutzniveau gesetzt?
    1. Ja, die Standardeinstellungen sind auf die Einstellung mit dem höchstmöglichen Datenschutzniveau gesetzt.
    2. Nein, die Standardeinstellungen sind nicht auf die privateste Einstellung eingestellt.
        Empfohlene Maßnahme:
      Alle Einstellungen bezüglich der Sammlung, Verarbeitung und Speicherung von persönlichen Daten sollten entsprechend des Umfangs der Verarbeitung auf die Einstellungen mit dem höchstmöglichen Datenschutz gesetzt werden.
  2. Sammelt die Erweiterung personenbezogene Daten, die derzeit nicht benötigt/verwendet werden?
    1. Ja, die Erweiterung sammelt nur das Minimum, das für die Funktionen für Superuser und Benutzer nötig ist.
    2. Die Erweiterung sammelt standardmäßig zusätzliche Informationen, die möglicherweise von Superusern verwendet werden könnten.
        Empfohlene Maßnahme:
      Die Erweiterung sollte standardmäßig nur die unbedingt erforderlichen Benutzerdaten sammeln, die gemäß ihrer Beschreibung für die Funktionsfähigkeit zwingend erforderlich sind. Alle zusätzlichen Funktionen, die sich aus der Datenerfassung ergeben (z. B. die Erfassung von IP-Adressen), sollten standardmäßig auf AUS gesetzt sein. Die Erweiterung sollte ein Dashboard bereitstellen, damit Administratoren diese Einstellungen entsprechend ihren Bedürfnissen und Datenschutzrichtlinien verwalten können.

7. Sicherheitsmaßnahmen

  1. Gibt es eine sichere Übertragung für alle von der Funktion genutzten Ressourcen?
    1. Ja, alle Anfragen werden über HTTPS (TLS) abgewickelt.
    2. Einige der Ressourcen übertragen Informationen auf unsichere Weise.
    3. Alle Ressourcen übertragen Informationen auf unsichere Art und Weise.
      Empfohlene Maßnahme:
      Alle verwendeten Ressourcen, ob lokal oder über einen Drittanbieter-Host, sollten Daten nur über verschlüsselte Verbindungen übertragen. Die HTTP-Requests des Browser sollten überprüft werden, unter Umständen mit einem Tool wie Screaming Frog. Auf Webservern sollten immer gut konfigurierte Zertifikate auf Ihren Webservern verwendet werden, um eine sichere Übertragung zu gewährleisten. Falls die Erweiterung Daten von einem Webserver anfordert oder an ihn überträgt, kann ein Test durchgeführt werden, um die Sicherheit des verwendeten Zertifikats und der Konfiguration dieses Servers zu gewährleisten. Es gibt viele Werkzeuge und Dienste, die dabei helfen, z.B. SSL Server Test.
  2. Wenn die Erweiterung zur Speicherung spezieller persönlicher Datenkategorien (wie die in Gruppe D beschriebenen) verwendet wird: Werden die Daten dann verschlüsselt gespeichert?
    1. Ja, die Daten können verschlüsselt gespeichert werden.
    2. Nur ein Teil der Daten kann verschlüsselt gespeichert werden.
    3. Nein, die Erweiterung verschlüsselt keine Daten.
        Empfohlene Maßnahme:
      Um die Konformität der Erweiterung zu erhöhen, sollten Verschlüsselungsfunktionen verwendet werden, um die Daten in der Datenbank zu verschlüsseln. Dadurch wird die Erweiterung mit höherer Wahrscheinlichkeit von Websites verwendet, die strenge Sicherheitsmaßnahmen anwenden und nachweisen wollen. Auf GitHub sind weitere Informationen zum Thema zu finden.
  3. Werden bei Bedarf Anonymisierungstechniken angewendet?
    1. Ja, Daten können anonymisiert werden.
    2. Einige der Daten können teilweise anonymisiert werden.
    3. Nein, es gibt keine Möglichkeit, Daten zu anonymisieren.
        Empfohlene Maßnahme:
      Es können Anonymisierungsfunktionen für die gesammelten Daten verwendet werden. Dadurch wird die Erweiterung mit höherer Wahrscheinlichkeit von Websites verwendet, die strenge Sicherheitsmaßnahmen anwenden und nachweisen wollen. Hier sind weitere Informationen zum Thema zu finden.

8. Einsatz von Drittparteien oder Dritten als Datenverarbeiter

  1. Falls zur Bereitstellung einer Dienstleistung oder einer Funktionalität eine Drittpartei eingesetzt wird: Wurde diese in die Liste der Dritt- oder Subunternehmer aufgenommen?
    1. Ja, es gibt eine Liste mit allen Drittparteien.
    2. Nein, es gibt keine Liste von Drittparteien oder die Liste ist nicht vollständig.
        Empfohlene Maßnahme:
      Es sollte eine Liste mit allen Dienstleistungen von Drittparteien, die von der Erweiterung genutzt werden, zur Verfügung stehen. Das macht es Webmastern leichter, sie auch in die Liste der Verarbeiter in ihrer Datenschutzrichtlinie für die Website aufzunehmen.
  2. Falls Dienstleistungen von Drittparteien verwendet werden: Existiert ein Hinweis mit einem Link zum Datenschutzabkommen/Addendum (DPA) der von Ihrer Erweiterung benutzten Drittanbieter für die Webmaster? Ist dieser Hinweis leicht zu finden und zu unterzeichnen? Auch wenn die dritte Partei keine persönlichen Daten sammelt, sollte eine Vereinbarung darüber bestehen.
    1. Ja, für alle Drittparteien.
    2. Ja, für einige Drittparteien.
    3. Nein, es ist keine DPA unterzeichnet.
        Empfohlene Maßnahme:
      Es sollte ein Hinweis mit einem Link zu den Datenschutzvereinbarungen/Zusätzen der von der Erweiterung verwendeten Dritten bereitgestellt werden. So können die Webmaster, die diese verwenden werden, diese Vereinbarung leicht unterschreiben. Dies wird ihnen helfen, die Einhaltung der Datenschutzvereinbarungen durch diese Dritten zu überprüfen und ihren Nutzern Informationen zur Verfügung zu stellen.

Weiterführende Informationen


Mitwirkende

Retrieved from "https://docs.sandbox.joomla.org/index.php?title=Privacy_Guidance_for_Joomla_Extensions/de&oldid=781032"