Datenschutz & Recht · Wissen
DSGVO-Grundlagen: Was schuldet ein Joomla-Betreiber?
Schon eine schlichte Joomla-Site verarbeitet personenbezogene Daten – Server-Logs, Kontaktformulare, Kommentare, Analyse – und steht damit in der DSGVO, nicht daneben.
Die Kernpflichten sind beherrschbar: vollständige Datenschutzerklärung, Auftragsverarbeitungsvertrag mit dem Hoster, Datensparsamkeit und funktionierende Antworten auf Betroffenenrechte. Diese Seite ist eine Landkarte, keine Rechtsberatung.
Die Pflichten-Landkarte einer typischen Joomla-Site
Am Anfang steht die Inventur: Was verarbeitet die Site tatsächlich? Server-Logs beim Hoster, Formular-Einsendungen, Benutzerkonten bei offener Registrierung, Newsletter-Adressen, Analysedaten, eingebettete Drittinhalte. Jeder Posten braucht eine Rechtsgrundlage (meist berechtigtes Interesse oder Einwilligung), einen Satz in der Datenschutzerklärung, der vier Fragen beantwortet – welche Daten, welcher Zweck, welche Rechtsgrundlage, wie lange gespeichert – und, wo ein Dienstleister für Sie verarbeitet, einen Auftragsverarbeitungsvertrag: Der mit dem Hoster ist die klassische Lücke. Dann minimieren: Formulare fragen nur, was die Antwort braucht; Kommentare funktionieren ohne Pflicht-Website; die Analyse läuft wo möglich selbst gehostet und cookielos (die Nachbarfragen behandeln genau dieses Setup – es ist der größte einzelne DSGVO-Vereinfacher einer Joomla-Site). Schließlich auskunftsfähig sein: Besucher dürfen Auskunft, Berichtigung oder Löschung verlangen, die Antwort ist binnen eines Monats fällig – für eine kleine Site keine Bürokratie, nur das Wissen, wo Nutzerdaten liegen (Joomlas Benutzerverwaltung, der Speicher der Formular-Komponente, Matomo). Das einmal systematisch abarbeiten – idealerweise mit fachlicher Prüfung – und die DSGVO wird zur Jahreswartung statt zum Hintergrundgrummeln.
Fakten kompakt
- Inventur zuerst: Logs, Formulare, Konten, Newsletter, Analyse, Einbettungen – die Erklärung spiegelt die Realität.
- Vier Fragen je Posten: welche Daten · Zweck · Rechtsgrundlage · Speicherdauer.
- Klassische Lücke: der Auftragsverarbeitungsvertrag mit dem Hoster – anfordern, ablegen.
- Größter Vereinfacher: selbst gehostete, cookielose Analyse statt Dritt-Trackern.
- Betroffenenrechte: Auskunft/Berichtigung/Löschung binnen eines Monats – wissen, wo Nutzerdaten liegen.
- Dies ist eine Praxis-Landkarte – die verbindliche Bewertung gehört zu Anwalt oder Datenschutzbeauftragtem.