Ist TYPO3 selbst das Datenschutzproblem?

Nein. TYPO3 ist ein CMS. Datenschutzfragen entstehen vor allem durch Konfiguration, Extensions, eingebundene Dienste und die konkreten Formulare oder Inhalte.

Wie viele TYPO3-Seiten sollte ich prüfen?

Für einen Einstieg reicht eine repräsentative Stichprobe. Bei großen Installationen sollten alle wichtigen Seitentypen und Sprachversionen berücksichtigt werden.

Erkennt konfora TYPO3-Extensions?

konfora erkennt technische Muster wie Requests, Tracker, Cookies, Embeds und Formulare. Es liest keine TYPO3-Extension-Liste aus dem Backend.

Ist eine veraltete TYPO3-Version ein Datenschutzthema?

Sie kann eines sein. Die DSGVO verlangt angemessene Sicherheit der Verarbeitung — eine Installation mit bekannten, ungepatchten Lücken, in deren Datenbank Formulardaten liegen, ist schwer als angemessen zu begründen. Update-Stand und Pflegeprozess gehören deshalb in jedes Audit.

Wer ist verantwortlich, wenn eine Agentur die Seite betreibt?

Verantwortlicher im Sinne der DSGVO bleibt in der Regel der Website-Betreiber. Die Agentur kann je nach Leistung Auftragsverarbeiter sein — etwa bei Wartung mit Datenzugriff. Diese Rollen sollten vertraglich geklärt sein, nicht stillschweigend angenommen.

Wie gehe ich mit alten Microsites und Subdomains um?

Inventarisieren und entscheiden: weiterbetreiben (dann mit aktuellem Consent- und Textstand), weiterleiten oder abschalten. Gewachsene TYPO3-Landschaften haben oft Kampagnen-Subdomains oder Alt-Projekte, die seit Jahren niemand pflegt — sie laufen mit veralteten Bannern und Texten weiter und tauchen in keiner Prüfung auf, solange niemand sie auf die Liste setzt.

Ratgeber · CMS & Plattformen

TYPO3 & DSGVO: Checkliste für Unternehmens-Websites

TYPO3 wird häufig für gewachsene Unternehmens-Websites genutzt: mehrere Sprachen, viele Seitentypen, individuelle Templates und Extensions. Das ist leistungsfähig, kann Datenschutzprüfungen aber unübersichtlich machen. Eine strukturierte Browser-Inventur schafft Klarheit.

7 Min. LesezeitStand: Juni 2026

Hinweis: Dieser Artikel ist eine technische Orientierung für Website-Betreiber und ersetzt keine Rechtsberatung. Für die Bewertung deiner konkreten Situation solltest du fachkundigen Rat einholen.

Gewachsene TYPO3-Seiten brauchen Inventur

TYPO3-Projekte leben oft über viele Jahre. Agenturen wechseln, Extensions werden ersetzt, Kampagnen kommen und gehen. Alte Tracking-Codes, eingebettete Medien oder externe Assets können dabei im Template bleiben, obwohl niemand sie noch bewusst betreibt.

Für den ersten Check reicht ein technischer Blick auf repräsentative öffentliche URLs: Startseite, Kontakt, zentrale Landingpages, Blog oder News, Downloadbereiche und Formularseiten.

TYPO3-spezifische Prüfpunkte

Extensions: Formular-, Newsletter-, Suche-, Analytics- oder Medien-Extensions können eigene Skripte und Cookies setzen.
Templates: Globale Header- und Footer-Snippets enthalten oft Tag Manager, Pixel, Fonts oder externe JavaScript-Bibliotheken.
Mehrsprachigkeit: Prüfe auch Sprachversionen. Manche Embeds, Texte oder Cookie-Hinweise sind nur in einzelnen Sprachzweigen abweichend.
Inhalte im CMS: Redakteure können YouTube, Maps, PDFs, Social Posts oder iFrames einbetten, ohne die technische Wirkung vollständig zu sehen.

Consent-Architektur prüfen

Bei Unternehmens-Websites ist Consent oft historisch gewachsen: ein Banner, mehrere Kategorien, Tag Manager, einzelne hardcodierte Snippets. Prüfe, ob alle nicht notwendigen Dienste tatsächlich an dieselbe Entscheidung gekoppelt sind.

Besonders wichtig ist der Ablehnen-Zustand. Wenn eine Einwilligung abgelehnt wird, sollten Analyse-, Marketing- und Session-Recording Dienste nicht trotzdem laden.

Formulare und Pflichttexte

TYPO3-Websites enthalten häufig Kontakt-, Bewerbungs-, Event-, Download- oder Newsletter-Formulare. Jedes Formular sollte nur notwendige Daten abfragen, transparent erklären, wofür die Daten genutzt werden, und per HTTPS ausgeliefert werden.

Auch die Datenschutzerklärung sollte zur tatsächlichen Extension- und Dienstelandschaft passen. Nenne keine Tools nur vorsorglich, wenn sie nicht mehr aktiv sind; entferne aber auch keine Angaben, solange der Dienst technisch weiter lädt.

Extension-Liste und Frontend-Realität abgleichen

Im TYPO3-Backend zeigt der Extension-Manager, welche Erweiterungen installiert sind — Formular-Frameworks, News-Module, Suche, Newsletter, Analytics-Anbindungen. Diese Liste ist ein guter Startpunkt für die Inventur, aber sie beantwortet nicht die entscheidende Frage: Was davon wirkt im Frontend tatsächlich auf Besucher?

Gleiche deshalb beide Richtungen ab. Erstens: Welche externen Hosts tauchen im Browser auf und welche Extension oder welcher Template-Baustein verursacht sie? Zweitens: Welche installierten Extensions verarbeiten personenbezogene Daten — etwa Formular-Einsendungen in der Datenbank — ohne dass man es der Seite von außen ansieht? Beides gehört in die Dokumentation und in den Abgleich mit der Datenschutzerklärung.

Matomo & Co.: selbst gehostet heißt nicht automatisch harmlos

Im TYPO3-Umfeld ist selbst gehostete Web-Analyse wie Matomo verbreitet — oft mit dem Argument, dass keine Daten an Dritte fließen. Das ist ein echter Vorteil, beantwortet aber nicht alle Fragen: Auch ein selbst gehostetes Statistik-Tool ist nicht automatisch einwilligungsfrei. Es kommt auf die Konfiguration an, etwa ob Cookies gesetzt werden, wie stark IP-Adressen gekürzt werden und welche Daten überhaupt erfasst werden.

Prüfe deshalb die konkrete Einstellung deiner Analyse-Lösung und beschreibe sie zutreffend in der Datenschutzerklärung. Ein cookielos und datensparsam konfiguriertes Tool ist anders einzuordnen als eine Vollerfassung mit Profilen — auch wenn beide auf demselben Server laufen.

Updates, Logs und Sicherheit der Verarbeitung

Datenschutz ist bei TYPO3 auch eine Frage der technischen Pflege. Die DSGVO verlangt angemessene technische und organisatorische Maßnahmen für die Sicherheit der Verarbeitung (Art. 32 DSGVO) — eine seit Jahren nicht aktualisierte Installation mit bekannten Sicherheitslücken passt schlecht dazu, gerade wenn Formular-Einsendungen oder Bewerbungsdaten in der Datenbank liegen.

Kläre deshalb: Läuft die Installation auf einer gepflegten Version, wer spielt Updates für Core und Extensions ein, und in welchem Rhythmus? Dazu gehören die unauffälligen Datenspeicher: Server- und Fehler-Logs mit IP-Adressen, Backups mit Formulardaten, Exporte auf Entwicklungsumgebungen. Für jeden dieser Orte sollte es eine Antwort auf die Fragen geben, wie lange Daten dort liegen und wer Zugriff hat.

Verantwortlichkeiten zwischen Redaktion, IT und Agentur

Bei TYPO3-Projekten arbeiten meist mehrere Rollen an einer Website: Redakteure pflegen Inhalte, eine Agentur betreut Templates und Extensions, die IT verantwortet Hosting und Updates. Datenschutzlücken entstehen oft genau an den Schnittstellen — etwa wenn die Redaktion ein Video einbettet, ohne dass jemand die Consent-Kopplung prüft.

Hilfreich sind einfache Spielregeln: Wer darf Embeds und Skripte einbauen? Welche Inhaltselemente sind für externe Inhalte freigegeben und mit welcher Zwei-Klick- oder Consent-Lösung? Und wer wird informiert, wenn neue Dienste dazukommen, damit Datenschutzerklärung und Consent-Banner nachziehen? Solche Absprachen kosten wenig und verhindern die typischen Überraschungen beim nächsten Audit.

Formular-Einsendungen: wohin die Daten wirklich fließen

Formular-Extensions speichern Einsendungen häufig in der TYPO3-Datenbank und verschicken sie zusätzlich per E-Mail — manchmal an mehrere Empfänger. Damit liegen dieselben personenbezogenen Daten schnell an drei Orten: in der Datenbank, in Postfächern und in Backups. Bei Bewerbungs- oder Anfrageformularen kommt inhaltliche Sensibilität dazu.

Kläre deshalb pro Formular: Wird in der Datenbank gespeichert, und gibt es eine Lösch-Routine für alte Einsendungen? Wer empfängt die Mails, und werden Postfächer regelmäßig aufgeräumt? Eine Einsendung von vor fünf Jahren, die niemand mehr braucht, ist kein Asset, sondern nur noch Risiko.

Gute Praxis ist ein Aufbewahrungsplan pro Formular — etwa: Kontaktanfragen nach Abschluss des Vorgangs löschen, Bewerbungsunterlagen nach Ende des Verfahrens innerhalb einer definierten Frist entfernen, sofern keine Einwilligung für den Talentpool vorliegt. Die Datenschutzerklärung sollte diese Fristen dann auch so nennen.

Audit-Vorgehen für größere Seiten

URL-Stichprobe: Wähle je einen Seitentyp: Homepage, Formular, News, Landingpage, Download, Sprache und Sonderfunktion.
Request-Liste: Erfasse externe Hosts und ordne sie Zweck, Extension oder Template-Bereich zu.
Consent-Matrix: Notiere, welche Hosts vor Auswahl, nach Ablehnen und nach Akzeptieren laden.
Text-Abgleich: Gleiche die tatsächlichen Dienste mit Datenschutzerklärung und Impressum ab.

Technische Bestandsaufnahme

konfora prüft einzelne öffentliche TYPO3-URLs und macht technische Befunde sichtbar. Für große TYPO3-Installationen empfiehlt sich eine Stichprobe mehrerer Seitentypen, weil der Scan nicht automatisch jede Unterseite und jede Sprachversion durchklickt.

Der vollständige Report als PDF liegt bei 14,99 € (Einmalkauf, kein Abo) und zeigt konkret, wo deine Website steht — mit priorisierter Aufgabenliste. Den Zugang zu deinem Report bekommst du per Magic-Link an deine E-Mail.

Report erstellen Beispiel ansehen

Kurz zusammengefasst

TYPO3-Risiken entstehen oft durch über Jahre gewachsene Templates, vergessene Extensions und redaktionell eingebettete Inhalte ohne Consent-Kopplung.
Prüfe mehrere Seitentypen, Microsites und Sprachversionen, nicht nur die Startseite — Abweichungen verstecken sich in den Rändern.
Consent muss auch hardcodierte Snippets und alte Kampagnen-Tags erfassen.
Datenschutzerklärung und technische Realität sollten regelmäßig abgeglichen werden.
Formular-Einsendungen liegen oft in Datenbank, Postfächern und Backups gleichzeitig — jeder dieser Orte braucht eine eigene Antwort auf die Frage, wie lange Daten dort bleiben und wer sie löscht.

Dieser Beitrag liefert allgemeine technische Hinweise und ersetzt keine Rechtsberatung. Für verbindliche Fragen zu deiner konkreten Website wendest du dich an Datenschutzbeauftragte, Rechtsberatung oder andere fachkundige Stellen.

Häufige Fragen

Ist TYPO3 selbst das Datenschutzproblem?: Nein. TYPO3 ist ein CMS. Datenschutzfragen entstehen vor allem durch Konfiguration, Extensions, eingebundene Dienste und die konkreten Formulare oder Inhalte.
Wie viele TYPO3-Seiten sollte ich prüfen?: Für einen Einstieg reicht eine repräsentative Stichprobe. Bei großen Installationen sollten alle wichtigen Seitentypen und Sprachversionen berücksichtigt werden.
Erkennt konfora TYPO3-Extensions?: konfora erkennt technische Muster wie Requests, Tracker, Cookies, Embeds und Formulare. Es liest keine TYPO3-Extension-Liste aus dem Backend.
Ist eine veraltete TYPO3-Version ein Datenschutzthema?: Sie kann eines sein. Die DSGVO verlangt angemessene Sicherheit der Verarbeitung — eine Installation mit bekannten, ungepatchten Lücken, in deren Datenbank Formulardaten liegen, ist schwer als angemessen zu begründen. Update-Stand und Pflegeprozess gehören deshalb in jedes Audit.
Wer ist verantwortlich, wenn eine Agentur die Seite betreibt?: Verantwortlicher im Sinne der DSGVO bleibt in der Regel der Website-Betreiber. Die Agentur kann je nach Leistung Auftragsverarbeiter sein — etwa bei Wartung mit Datenzugriff. Diese Rollen sollten vertraglich geklärt sein, nicht stillschweigend angenommen.
Wie gehe ich mit alten Microsites und Subdomains um?: Inventarisieren und entscheiden: weiterbetreiben (dann mit aktuellem Consent- und Textstand), weiterleiten oder abschalten. Gewachsene TYPO3-Landschaften haben oft Kampagnen-Subdomains oder Alt-Projekte, die seit Jahren niemand pflegt — sie laufen mit veralteten Bannern und Texten weiter und tauchen in keiner Prüfung auf, solange niemand sie auf die Liste setzt.