Mautic DSGVO – Checkliste

Picture of Sebastian Fahrenkrog
Sebastian Fahrenkrog

Seit dem 21.5.2018 gelten die Regel der DSGVO (Datenschutz-Grundverordnung) in ganz Europa. In diesem Artikel erfahren Sie, wie Sie von der Open Source Software Mautic im Bereich Datenschutz profitieren können.

Für die Content Optimizer war das Thema Datenschutz schon immer eine Leidenschaft. Aus diesem Grunde haben wir schon sehr früh die Anforderungen der DSGVO im Blick gehabt und Mautic dahingehend geprüft und angepasst. Mautic erfüllt schon von Haus aus einige Anforderungen, muss aber trotzdem noch an einigen Stellen angepasst werden.

Durch die Open Source Lizenz von Mautic, kombiniert mit dem Betrieb auf eigenen deutschen Servern, werden diese Anpassungen erst möglich. Denn nur, wenn Sie Zugriff auf den Quellcode haben, können Sie selbst oder ein fähiger Programmierer alle Anpassungen vornehmen. Das kann Ihnen kein Cloud-Anbieter bieten!

Prüfpflicht für Sie als Cloud-Kunde

Die Anforderung, sich selbst und persönlich von der korrekten und zuverlässigen Datenverarbeitung beim Betreiber der Software zu überzeugen, ist übrigens einer der Gründe, weswegen wir vielen Firmen beim Wechsel von amerikanischen Anbietern zu Mautic geholfen haben.

Denn – laut der DSGVO dürfen Sie sich nicht einfach auf Zusicherungen Ihres Anbieters verlassen, sondern müssen jedes Detail selber prüfen (oder prüfen lassen).

Bitte bedenken Sie: Unterlassen Sie die vorgeschriebene Prüfung, haften Sie für eventuelle Verstöße und Ihre Datenverarbeitung ist illegal. Das kann Bußgelder von bis zu 20 Mio. Euro zur Folge haben.

Und die Datenschutz-Behörden verhängen inzwischen auch wirklich Geldbußen – die kurz nach der Einführung der DSGVO entstandene Wahrnehmung, dass Verstöße doch nicht so hart geahndet werden, ist inzwischen total falsch.  

Europäischer Einfluss auf amerikanische Open Source Software

Schon früh gab es in der Mautic-Community die ersten Beiträge, um wichtige Anpassungen an den europäischen Datenschutz anzustoßen – ein deutliches Zeichen für die wachsende Anzahl an europäischen Benutzern des Systems.

Auch wenn man die Diskussionen auf GitHub verfolgt, merkt man ein langsam wachsendes Verständnis für die europäische Perspektive auf Privatheit, Datenschutz und Sicherheit. Leider hat das noch nicht dazu geführt, dass eine frische Mautic-Installation sofort und ohne weitere Einrichtung datenschutzkonform ist.

Datenschutzkonformität relativ leicht herstellen

Im Folgenden stellen wir Ihnen unsere interne Checkliste zur Verfügung. Diese benutzen wir normalerweise, um unsere Kunden sicher durch den Dschungel der Regelungen zu bringen und sicherzustellen, dass Datenschutzprüfungen recht problemlos durchgestanden werden – bisher mit recht großem Erfolg.

Dazu ein Wort der Warnung: Die Prüfung bzw. die konkreten Maßnahmen müssen natürlich immer im Einzelfall geprüft und angepasst werden.

Die folgende Punkte stellen auch keine Rechtsberatung dar, sondern sollten stets mit Hilfe von Experten geprüft, bewertet und umgesetzt werden.

Es hängt zum Beispiel stark von der Art der erhobenen Daten ab, ob und in welchem Umfang Risiken für die im Datenschutz-Lingo  “Betroffenen” – also Ihren Kunden und Interessenten – bestehen. Da die DSGVO Sie verpflichtet, auf diese konkreten Risiken abgestimmte Maßnahmen zu ergreifen, ist eine individuelle Prüfung unabdingbar.

Wir sind stets bemüht, die Liste aktuell zu halten und freuen uns auf Ihr Feedback oder Ihre Ergänzungen.

DSGVO Checkliste - Marketing Automatisierung

  • Achten Sie darauf, Mautic in Ihre Datenschutzerklärung aufzunehmen (ähnlich wie Google Analytics). Beschreiben Sie alle Technologien, die zur Erfassung des Besucherverhaltens verwendet werden.
  • Fügen Sie Mautic und ggf. alle weiteren neuen Dienste (wie Email-Server) zu Ihrem Verarbeitungsverzeichnis hinzu und geben Sie die Rechtsgrundlage für die Verarbeitung an.
  • Schließen Sie mit ihrem Dienstleister/Hoster einen Vertrag zur Auftragsdatenverarbeitung.
  • Konfigurieren Sie ein Double Opt-In (DOI) Verfahren: Verwenden Sie ein DOI-Verfahren, um sich die explizite Erlaubnis der Benutzer zur Verarbeitung ihrer Daten sowie zum Versand von Werbung zu holen.
  • Erweitern Sie jedes Formular um den Hinweis der Datenverarbeitung beim abschicken. Oft wird hier eine Checkbox erforderlich sein, um eine aktive Zustimmung des Betroffenen sicherzustellen. (Diese niemals bereits angehakt!)
  • Kontakte ohne Einwilligung automatisch löschen: Wenn Sie in Mautic DOI- Verfahren einsetzen, dann achten Sie unbedingt auf eine Löschung der Kontakte, die Ihnen keine Zustimmung erteilt haben. Die Löschung sollte innerhalb weniger Tage passieren und kann automatisiert über eine Mautic Kampagne erfolgen.
  • Clean Up Job einrichten: Verwenden Sie in regelmäßigen Abständen das Mautic Maintenance-Kommando, um Bewegungsdaten (Logs von anonymen Kontakten) nach einer angemessenen Frist zu entfernen. Hinweis: Das Kommando entfernt KEINE Leads. Diese müssen ggf. von einer eigenen Lösch-Kampagne entfernt werden. Beispiel: php app/console mautic:maintenance:cleanup --days-old=21
  • Mautic Tracking-Script anpassen für die Unterstützung des Opt-In: Das Mautic Tracking-Script muss angepasst werden. Sie sollten das Tracking-Script nur in Kombination mit einem expliziten Opt-In einbinden. Eine einfache Mitteilung bzw. ein explizites Opt-Out reichen in Zukunft nicht mehr. Das Tracking sollte daher nur aktiv werden, wenn der Besucher dieses erlaubt hat. Das Mautic Tracking-Script beinhaltet darüber hinaus auch eine Fingerprint-Komponente. Diese ist  datenschutzrechtlich kritisch und sollte aus unserer Sicht entfernt werden. Lesen Sie auch die Zusammenfassung in folgendem Artikel bei golem.de: https://www.golem.de/news/orientierungshilfe-wie-webseiten-nutzer-tracken-duerfen-und-wie-nicht-1904-140588.html oder lesen die die 25-seitige Orientierungshilfe unter: https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf
  • Passen Sie die Mautic -Tracking Einstellungen an: Aktivieren Sie die IP-Adressen-Anonymisierung und deaktivieren Sie die Option “Identify visitor by device fingerprint”. Bedenken Sie auch, dass ggf. andere Tracking-Systeme die IP-Adresse  anonymisieren sollten. Bemerkung: Falls Sie auch das Problem haben, dass Ihr Mautic sich mit Fake-Leads durch Bots füllt, haben Sie damit eine Rechtfertigung für ein verspätetes Anonymisieren der IP-Adressen – Denn Sicherheitsanforderungen stellen einen wichtigen Grund für eine verlängerte Datenverarbeitung dar. Wir haben zum Beispiel ein Filtersystem entwickelt, das anhand von bekannten Bot-IP-Adressen solche Fake Leads ausfiltern kann und erst nach dem Check die IP-Adresse anonym überschreibt.
  • Binden Sie Google Analytics richtig ein: Wenn Sie die Google Analytics Einbindung über Mautic nutzen, aktivieren Sie die Option “Enabled IP Anonymization”
  • Schützen Sie die Kommunikation mit Mautic: Sorgen Sie für eine verschlüsselte Kommunikation mit Mautic. Alle Anfragen dürfen nur über HTTPS mit dem Server geschehen.
  • Achten Sie auf die Serversicherheit: Denken Sie an die regelmäßige Wartung des Servers. Dazu gehören das Einspielen von Sicherheits-Updates, Log Dateien-Rotation und die Zugangssicherung der personenbezogenen Daten.
  • Konfigurieren Sie Ihren Server mit den HTTP-Sicherheits-Headern: Inzwischen sind eine ganze Reihe von HTTP-Headern standardisiert, die einem Webbrowser Hinweise zur sicheren Nutzung Ihrer Website vorgeben. Dadurch kann zum Beispiel verhindert werden, dass Ihre Website in einem IFRAME geladen wird oder, dass unsichere Skripte eingeschleust werden können.
  • Prüfen sie externe Landingpages: Denken Sie auch an eine Überprüfung der externen Landingpages, auf denen Mautic zum Einsatz kommt. Diese sollten auch mit HTTPS geschützt sein und hinsichtlich der Einbindung externer Skripte geprüft und optimiert werden.
  • Beachten Sie das Thema Multi-Mandanten-Fähigkeit: Vermeiden Sie unbedingt eine Vermischung von unterschiedlichen Kundendaten innerhalb von Mautic bzw. achten Sie auch hier auf die expliziten Einwilligungen der Benutzer. Generell unterstützt Mautic keine Mandanten! Deswegen lautet die goldene Regel: 1 Website = 1 Mautic.

Abschließend ein Wort in eigener Sache:

Sind Sie sich nicht sicher, ob Sie alle Punkte aus der Liste erfüllen bzw. umsetzen?

Wir unterstützen Sie gerne bei der Umsetzung. Viele der Punkte haben wir bereits durch eigene Lösungen bei unserem Mautic Managed Hosting umgesetzt.

Zu viele Details? Wir begleiten Sie durch den Datenschutz-Dschungel

Vereinbaren Sie jetzt Ihren Termin für ein unverbindliches Telefonat mit einem Experten.
Mautic DSGVO – Checkliste
Mautic Blog
Mautic-Newsletter

Unser Mautic Newsletter informiert Sie regelmäßig über Mautic und unsere dazu passenden Angebote. Melden Sie sich doch an, es ist kostenlos!

Sie können sich jederzeit wieder abmelden - mit nur einem Klick! Wir schützen Ihre personenbezogenen Daten leidenschaftlich. Datenschutzerklärung anzeigen.

Cookies und Datenschutz
Bitte stimmen Sie der Nutzung von Cookies und dem Tracking zu, damit wir Ihnen den bestmöglichen Service bieten können:
Laden...
Widersprechen?

Wenn Sie widersprechen, speichern wir dies in einem Cookie und befolgen Ihren Wunsch. Sie verlieren dadurch den Zugang zu personalisierten Angeboten und zu Inhalten wie Schulungen, Artikeln, kostenlosen Tools, Newsletter usw.

In unserer Datenschutzerklärung finden Sie die vollständige Angaben zu den Datenverarbeitungen und zu Ihren Rechten. Sie können zum Beispiel Ihre Einwilligung jederzeit widerufen, Auskunft, Korrektur, Herausgabe oder Löschung Ihrer Daten verlangen.

Für Ihre informierte Entscheidung beschreibt unsere Datenschutzerklärung alle Verarbeitungen ausführlich. Hier finden Sie die Kurzfassung: