Der Schutz personenbezogener Daten ist längst keine optionale Schicht des digitalen Ökosystems mehr, sondern eine verpflichtende Disziplin, die Budgets, institutionelle Reputation und rechtliche Nachhaltigkeit unmittelbar betrifft. Jede in der EU niedergelassene Organisation — und jede, die von außerhalb EU-Bürger bedient oder deren Verhalten beobachtet — unterliegt der DSGVO. Hochschulen gehören zu den sensibelsten Adressaten der Verordnung: Daten von Studierenden, Bewerberinnen und Bewerbern, Wissenschaftlerinnen und Wissenschaftlern, Alumni und Besuchern werden täglich erhoben und verarbeitet.
Dieser Artikel zeigt, was die DSGVO konkret von einer Website verlangt, welche strukturellen Vorteile Drupal im Compliance-Prozess bietet, welche Module dabei zum Einsatz kommen und welche praktischen Umsetzungsschritte speziell für Hochschul-Websites sinnvoll sind.
Was verlangt die DSGVO konkret von einer Website?
Die DSGVO ist eine umfassende Verordnung, doch die praktischen Pflichten, die sie einer Website auferlegt, lassen sich klar eingrenzen. Eine institutionelle Website muss mindestens diese sieben Bereiche korrekt umsetzen:
- Transparenz- und Informationspflicht: Überall dort, wo personenbezogene Daten erhoben werden (Formulare, Cookies, Registrierung), müssen Besucher klar erfahren, welche Daten zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange und mit wem geteilt verarbeitet werden. Die Artikel 12–13 regeln dieses Recht.
- Ausdrückliche Einwilligung: Nicht notwendige Cookies, Marketing-Einwilligungen und die Verarbeitung besonderer Datenkategorien erfordern eine freiwillige, informierte und nachweisbare Einwilligung. Vorangekreuzte Kästchen sind keine gültige Einwilligung — das ist seit dem Planet49-Urteil des EuGH geklärt.
- Datenminimierung: Es dürfen nur die personenbezogenen Daten erhoben werden, die für den angegebenen Zweck zwingend erforderlich sind. Daten „auf Vorrat" zu sammeln verstößt gegen Artikel 5.
- Betroffenenrechte: Die Website muss die technische Grundlage für Auskunft, Berichtigung, Löschung (das Recht auf Vergessenwerden, Artikel 17) und Datenübertragbarkeit (Artikel 20) bereitstellen.
- Internationale Datentransfers: Die Übermittlung personenbezogener Daten außerhalb der EU/des EWR erfordert einen gültigen Rechtsmechanismus — einen Angemessenheitsbeschluss, Standardvertragsklauseln oder eine ausdrückliche Einwilligung (Kapitel V). Das ist relevanter, als viele Einrichtungen annehmen: Ein in den USA gehostetes Analytics-Skript oder CRM stellt bereits einen grenzüberschreitenden Transfer dar.
- Datensicherheit: Ein Verzeichnis von Verarbeitungstätigkeiten muss geführt werden (Artikel 30); Verschlüsselung, Zugriffskontrolle, Protokollierung und regelmäßige Sicherheitstests müssen etabliert sein (Artikel 32).
- Meldung von Datenschutzverletzungen: Wird eine Datenschutzverletzung festgestellt, muss die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigt werden (Artikel 33); bei hohem Risiko sind auch die betroffenen Personen zu informieren.
Die Erfüllung dieser Pflichten ist nie eine Frage der Installation eines einzelnen Moduls. CMS-Auswahl, Inhaltsarchitektur, Formularverwaltung, Cookie-Strategie, Benutzerberechtigungen und organisatorische Prozesse gehören alle zum Compliance-Gesamtbild. Genau hier bietet Drupal auf mehreren Ebenen gleichzeitig natürliche Vorteile.
Die Kosten der Nichteinhaltung: Bußgelder und das Risikoprofil von Hochschulen
Die Kosten der Compliance sind bescheiden im Vergleich zu den Kosten der Nachlässigkeit. Die DSGVO definiert zwei Bußgeldstufen:
| Stufe | Umfasst | Maximales Bußgeld |
|---|---|---|
| Untere Stufe (Art. 83 Abs. 4) | Sicherheitspflichten, Verarbeitungsverzeichnis, Meldepflichten, Datenschutz durch Technikgestaltung | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist |
| Obere Stufe (Art. 83 Abs. 5) | Verarbeitungsgrundsätze, Rechtsgrundlage, Einwilligung, Betroffenenrechte, internationale Transfers | 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist |
Öffentliche Hochschulen sind nicht ausgenommen: Europäische Aufsichtsbehörden haben Bildungseinrichtungen wiederholt wegen unrechtmäßiger Verarbeitung, unzureichender Sicherheitsmaßnahmen und fehlerhafter Einwilligungen mit Bußgeldern belegt.
Hochschulen gehören eindeutig zur Hochrisikogruppe, weil die Vielfalt der verarbeiteten Daten enorm ist: Bewerberdaten (Ausweisnummern, Prüfungsergebnisse, ärztliche Atteste), akademische Studierendenakten, Personalakten, Bibliotheksausleihen, Zugangsprotokolle auf dem Campus und Alumni-Kontaktlisten existieren in einer einzigen Einrichtung nebeneinander — vieles davon betrifft Minderjährige oder fällt in besondere Kategorien wie Gesundheitsdaten. Mit wachsender Datenvielfalt wächst auch die Angriffsfläche — genau deshalb lässt sich Compliance nie auf ein einzelnes Formular oder eine einzelne Richtlinienseite reduzieren.
Drupals strukturelle Vorteile für die DSGVO-Konformität
Drupal ist von Anfang an um Sicherheit, granulare Berechtigungen und Nachvollziehbarkeit herum gebaut. Diese Architektur macht DSGVO-Konformität nicht zu „zusätzlicher Arbeit", sondern zu einer natürlichen Eigenschaft des Systems. Drupals Stärken auf diesem Gebiet:
- Feingranulares Berechtigungssystem: Welcher Inhaltstyp, welches Feld und welche Nutzerdaten von wem eingesehen oder bearbeitet werden dürfen, wird rollenbasiert verwaltet. Das „Need-to-know"-Prinzip — ein Kernbestandteil der Datensicherheit nach Artikel 32 — ist in der Architektur verankert.
- Verschlüsselung und sichere Sitzungsverwaltung: Der moderne Drupal-Kern speichert Benutzerpasswörter mit starkem Einweg-Hashing (bcrypt über die native PHP-Passwort-API); Sitzungstoken werden mit sicheren Cookie-Flags verwaltet. Site-weite HTTPS-Erzwingung ist unkompliziert.
- Formular- und Inhaltsgovernance: Mit dem Webform-Modul lässt sich für jedes Formularfeld ein definierter Zweck, eine Aufbewahrungsfrist und ein begleitender Einwilligungstext konfigurieren. Einsendungen werden als eigene Datenentität verwaltet — Massenlöschung und Export sind standardmäßig verfügbar.
- Mehrsprachigkeit im Kern: Datenschutzhinweise, Cookie-Richtlinien und Einwilligungstexte können in über 100 Sprachen verwaltet werden. Für Hochschulen mit internationalen Studierenden bedeutet das: parallele Rechtstexte in jeder Zielsprache sind praktikabel.
- Ein disziplinierter Sicherheitsprozess: Das Drupal Security Team veröffentlicht Schwachstellen nach einem standardisierten Verfahren (Security Advisories, PSAs, semantische Versionierung). Diese Disziplin unterstützt direkt die Pflicht zu „technischen und organisatorischen Maßnahmen" aus Artikel 32.
- Protokollierung und Audit-Trail: Das Database-Logging-Modul (dblog) zeichnet Benutzeraktionen, Anmeldeversuche und Datenänderungen auf — die Protokollintegrität, auf die Audits und die Untersuchung von Datenschutzverletzungen angewiesen sind.
Diese strukturellen Stärken sind kein Zufall: Sie sind der Grund, warum einige der Institutionen mit den sensibelsten Daten der Welt — das Weiße Haus, die NASA, die Europäische Kommission, Australiens GovCMS-Plattform und rund drei Viertel der 100 besten Universitäten der Welt — auf Drupal setzen.
Drupal-Module für die DSGVO-Konformität
Das Drupal-Ökosystem bietet ausgereifte Module zur Unterstützung der DSGVO-Konformität. Keines davon macht eine Einrichtung für sich genommen „konform" — aber die richtige Kombination deckt den Großteil der technischen Anforderungen ab.
| Modul | Aufgabe | Typischer Einsatz |
|---|---|---|
| EU Cookie Compliance | Cookie-Banner, Einwilligungsverwaltung, kategoriebasierte Berechtigungen, Einwilligungsprotokolle | Die Cookie-Pflicht aus ePrivacy/DSGVO, konfiguriert mit Opt-in-Logik |
| Klaro Cookie Consent | Schlanke Einwilligungsverwaltung mit starker Kontrolle über Drittanbieter-Skripte | Eine Alternative für Teams mit Performance-Fokus |
| COOKiES | Barrierefreiheits-orientierte Cookie-Verwaltung mit starker Drittanbieter-Integration | Behörden- und Hochschulseiten mit kritischen WCAG-Anforderungen |
| GDPR (Contrib-Modulpaket) | Datenverzeichnis, Recht auf Löschung, Auskunftsersuchen, Datenexport, Anonymisierung | Das technische Gegenstück der Betroffenenrechte; DSGVO-Tagging für Felder |
| Webform | Formularbasierte Datenerhebung, Einwilligungskästchen, Verwaltung der Einsendungen | Integration von Datenschutzhinweisen in Bewerbungs-, Anmelde- und Kontaktformulare |
| Login Security | Login-Härtung, Brute-Force-Schutz, IP-Beschränkungen | Eine technische Maßnahme, die direkt der Sicherheitspflicht aus Artikel 32 entspricht |
| Password Policy | Starke Passwortregeln, periodischer Wechsel | Eine verpflichtende Sicherheitsschicht für Administrator- und Redakteurskonten |
Ein kritischer Punkt bei der Modulauswahl: Cookie-Consent-Module können nur kontrollieren, was an sie angebunden ist. Drittanbieter-Skripte wie Google Analytics, Meta Pixel oder Hotjar müssen auf Code-Ebene zurückgestellt werden, bis die Einwilligung tatsächlich erteilt wurde. EU Cookie Compliance stellt genau für diese Prüfung die JavaScript-Funktion hasAgreed() bereit; ist sie falsch konfiguriert, wird das Banner zwar angezeigt, aber unautorisierte Cookies werden trotzdem gesetzt — was Aufsichtsbehörden als Verstoß werten, nicht als Formsache.
Umsetzungsschritte für Hochschul-Websites
Die DSGVO-konforme Umsetzung einer Hochschul-Drupal-Website plant man am besten in sieben Etappen. Diese Schritte umfassen nicht nur die technische, sondern auch die administrative und organisatorische Dimension.
- Datenverzeichnis erstellen: Welche Seiten, welche Formulare und welche Integrationen erheben welche personenbezogenen Daten? Bewerbungsformulare, Profile des wissenschaftlichen Personals, Bibliotheksmitgliedschaften, Veranstaltungsanmeldungen und Newsletter-Abonnements werden einzeln erfasst.
- Datenschutzhinweise vorbereiten: Identität des Verantwortlichen, Verarbeitungszweck, Rechtsgrundlage, Aufbewahrungsfrist und Betroffenenrechte werden an jedem Erhebungspunkt separat dargestellt. Eine einzige generische „Datenschutzerklärung" reicht nicht — der Hinweis für ein Bewerbungsformular unterscheidet sich von dem für ein Newsletter-Abonnement.
- Cookies als Opt-in konfigurieren: Alles jenseits der unbedingt erforderlichen Cookies (Analytics, Marketing, Social Media) muss inaktiv bleiben, bis die Einwilligung erteilt wurde. Auf Drupal-Seite geschieht das mit EU Cookie Compliance, Klaro oder COOKiES — aber auch die Google-Analytics- und Meta-Pixel-Integrationen selbst müssen über
hasAgreed()oder ein Äquivalent konditioniert werden. - Ausdrückliche Einwilligungskästchen in Formulare einbauen: Mit Webform erhält jedes Bewerbungs-, Anmelde- und Kontaktformular ein eigenes Einwilligungskästchen. Keine vorangekreuzten Kästchen; die Einwilligung wird nachweisbar protokolliert.
- Prozess für Betroffenenrechte einrichten: Ein zentraler Kontaktkanal wie [email protected], ein Antragsformular und ein internes Bearbeitungsverfahren werden für Auskunfts-, Berichtigungs-, Lösch- und Übertragbarkeitsanfragen definiert. Das Drupal-GDPR-Modulpaket unterstützt diesen Prozess technisch.
- Verarbeitungsverzeichnis pflegen: Artikel 30 verpflichtet Verantwortliche, ein aktuelles Verzeichnis darüber zu führen, was zu welchem Zweck und mit welchen Schutzmaßnahmen verarbeitet wird — mindestens jährlich überprüft und für die Aufsichtsbehörde bereitgehalten. Einrichtungen, die die Kriterien des Artikels 37 erfüllen, müssen zudem einen Datenschutzbeauftragten benennen.
- Meldeprozess für Datenschutzverletzungen vorbereiten: Die Aufsichtsbehörde muss innerhalb von 72 Stunden nach Feststellung einer Verletzung benachrichtigt werden. Um dieses Zeitfenster einzuhalten, braucht es vorab definierte Incident-Management-, Protokollprüfungs- und interne Kommunikationsprotokolle — nicht Improvisation unter Druck.
Häufig gestellte Fragen zur DSGVO-Konformität in Drupal
Reicht ein Cookie-Banner für die DSGVO-Konformität aus?
Nein. Der häufigste Fehler ist, ein Cookie-Banner anzuzeigen und gleichzeitig Google Analytics und Meta Pixel bereits beim Seitenaufruf zu laden. Das Banner ist sichtbar, aber die unautorisierte Datenerhebung hat längst begonnen — europäische Aufsichtsbehörden werten das ausdrücklich als Verstoß. Die korrekte Umsetzung stellt alle nicht notwendigen Cookies und Drittanbieter-Skripte auf Code-Ebene zurück, bis die Nutzerin oder der Nutzer aktiv eingewilligt hat — über die hasAgreed()-Funktion von EU Cookie Compliance oder den Script-Blocking-Mechanismus von Klaro.
Wie sollten Bewerbungsformulare für Studierende unter der DSGVO gehandhabt werden?
Bewerbungsformulare sind der risikoreichste Datenerhebungspunkt einer Hochschule, weil sie ein breites Datenspektrum abdecken: Ausweisnummern, Geburtsdaten, Gesundheitsinformationen, Prüfungsergebnisse. Drei Regeln gelten. Erstens: Es wird nur erhoben, was das Zulassungsverfahren zwingend erfordert — keine „Nice-to-have"-Felder. Zweitens: Der Datenschutzhinweis steht am Anfang des Formulars, ein separates, nicht vorangekreuztes Einwilligungskästchen am Ende. Drittens: Aufbewahrungsfrist, Zugriffsberechtigte und die Löschfrist abgelehnter Bewerbungen werden vorab definiert. Webform und das Drupal-GDPR-Modulpaket liefern das technische Gegenstück zu allen drei Regeln.
Wie wird DSGVO-Konformität in Drupal-Multisite-Installationen verwaltet?
In einer Multisite-Architektur verhält sich jede Untersite technisch wie eine eigene Einheit — das bringt sowohl einen Vorteil als auch eine Verantwortung mit sich. Der Vorteil: Jede Fakultätsseite verwaltet ihren eigenen Datenbereich und kann eigene Inhaltsrichtlinien anwenden. Die Verantwortung: Über alle Seiten hinweg muss ein einheitlicher Compliance-Standard gelten. Der praktische Ansatz ist ein gemeinsames Compliance-Fundament — ein einheitliches Cookie-Consent-Modul, eine zentrale Blockstruktur für Datenschutzhinweise, ein hochschulweiter Kontaktkanal —, während jede Untersite nur die Details ihrer eigenen Formulare konfiguriert. Das zentrale IT-Team hält so eine einheitliche Compliance-Grundlinie über die gesamte Multisite, und die Fakultäten bewahren ihre inhaltliche Autonomie.