Wann TYPO3-Updates wegen der DSGVO nötig sind

Der Stand der Technik

Die DSGVO sieht vor, dass die eingesetzte Software (und Hardware) dem Stand der Technik entsprechen muss. Das ist jedoch in der Regel nur dann der Fall, wenn sie auf dem neuesten Stand ist. Nur wenn es keine neueren Versionen gibt und keine gleichwertige alternative Software existiert, kann davon abgewichen werden.

Geltungsbereich der DSGVO

Um die Frage beantworten zu können, muss man den Geltungsbereich der DSGVO betrachten. Diese greift, wenn personenbezogene Daten einer natürlichen Person verarbeitet werden. Eine TYPO3 Website, die beispielsweise nur allgemeine Texte und Bilder anzeigt, fällt also auf den ersten Blick nicht darunter. Hier werden nach dem ersten Anschein keine personenbezogenen Daten verarbeitet. 

Falls nicht nur Texte und Bilder angezeigt werden, sodern auch Benutzerdaten in TYPO3 gespeichert werden (z.B. über User Accounts oder Kontaktformulare),  sind die Anforderungen der DSGVO in jedem Fall anzuweden.

TYPO3-CMS als Einfallstor

Relevante Benutzerdaten (wie IP-Adressen) werden allerdings von der Server-Software (z. B. Apache) verarbeitet.  

Leider wäre das zu einfach gedacht. Eine nicht gewartete TYPO3-Software (wie jedes andere CMS) stellt ein potenzielles Sicherheitsrisiko dar und kann als Einfallstor für Angriffe auf den Server dienen. Dadurch kann unter Umständen auch auf sensible Serverdaten zugegriffen werden. Ein solcher Vorfall hätte durch regelmäßige Updates von TYPO3 verhindert werden können. Daher ist die Argumentation „Das betrifft nur den Apache-Server“ nicht zielführend.

Fazit:

Um die DSGVO-Konformität zu gewährleisten, muss ein CMS stets aktuell gehalten werden. Da TYPO3 konsequent neue Versionen veröffentlicht, müssen diese auch genutzt werden.