Teil 1: Datenübertragung "über Bande" über die DLDB
Mit der Dienstleistungsdatenbank (DLDB) betreibt die DRK Service GmbH ein zentrales Verzeichnis, in dem auch Sie als Kreisverband Ihre Produkte und Dienstleistungen eintragen sollten. Und wenn Ihr Drittanbieter-Softwareprodukt eine Schnittstelle zur DLDB hat, dann gelangen darüber auch Daten ins DRKCMS.
Prominentester (und aktuell auch einziger) Vertreter dieser Art ist das Thema "Kursangebot":
- Ihre Kursverwaltungssoftware überträgt das Kursangebot in die DLDB
- dort ist es über alle Kanäle (z.B. auch www.rotkreuzkurs.de) abrufbar
- und damit ist es auch automatisch im DRKCMS verfügbar, Sie müssen lediglich das "Kursterminanzeige"-Plugin auf der Seite platzieren, Kreisverband und Kurstyp auswählen, fertig.
Eine Schnittstelle zwischen Ihrer Software und dem DRKCMS ist für diesen Weg gar nicht nötig.
Teil 2: Direkt per Schnittstelle
Für manche Produkte gibt es mehr oder weniger fertige Schnittstellen ins DRKCMS. Üblicherweise wird dabei ein Modul ("Extension") im DRKCMS installiert, das hintenraus von unserem Server aus den Anbieter kontaktiert, Daten abruft, verarbeitet und aus dem TYPO3 heraus an die besuchende Person ausliefert.
Ob und wie eine solche Extension installiert werden kann, kommt auf die Herkunft an:
- Für manche Produkte stellen wir gemeinsam mit dem Hersteller eine Erweiterung bereit, die "rolling Update"-kompatibel ist. Das heißt, wir sorgen gemeinsam dafür, dass diese Erweiterung auch automatisch jedes Update überlebt. Das betrifft zum Beispiel die erweiterte Kurs-/Terminanzeige aus LEO oder aus HiOrg-Server. Diese Erweiterungen können Sie bequem im Modul "DRKCMS-Marktplatz" in Bereich "Schnittstellen" auf Knopfdruck aktivieren.
- Für manche Produkte programmieren wir auf Wunsch auch individuelle Schnittstellen. Das betrifft z.B. die Buchung von Kursen aus WinDTG heraus. Weil diese Erweiterung (Sonderanfertigung) auch bei jedem Update manuell nachgepflegt werden muss, ist das üblicherweise mit der Betriebsart "semi-rolling Updates" verbunden, d.h. Ihr DRKCMS ist von automatischen Updates ausgenommen und wir heben es bei Bedarf manuell auf die nächste Version.
- Für manche Produkte gibt es vom Hersteller oder Drittanbietern freie TYPO3-Erweiterungen. Diese können wir im Rahmen der Betriebsart "semi-rolling Updates" auf Wunsch gerne in Ihren DRKCMS installieren - jedoch ist sowohl die einmalige Inbetriebnahme, als auch der regelmäßige Updateprozess sehr abhängig davon, wie gut die Erweiterung mit dem DRKCMS zusammenarbeitet und ehrlicherweise Glückssache.
Teil 3: Per HTML-/JavaScript-Code
Die letzte Möglichkeit ist so einfach wie kompliziert: Der Anbieter gibt Ihnen ein bisschen Code (HTML/JavaScript), Sie bauen es ein, fertig.
Ein prominentes Beispiel dafür ist z.B. die Einbindung von "B-ITE"
Einfach, denn: Das können Sie selbst machen:
- Legen Sie auf der gewünschten Webseite ein neues Inhaltselement ein, wahlweise "HTML-Quelltext" (unter "Besondere Elemente") oder "DSGVO-konforme HTML-Einbindung" (unter "D&T Internet-Elemente")
- Fügen Sie den vom Anbieter bereitgestellten Code dort ein. Alles, was der Code kann (und wie es aussieht) wird durch den Anbieter gesteuert, d.h. Designvarianten bei B-ITE müssten Sie dort einstellen/klären.
Fertig.
Und kompliziert aus zwei Gründen:
a) Sie führen neben den Scripten, die das DRKCMS braucht, auch noch Scripte des Anbieters aus. Das muss so sein, denn dessen Logik muss ja auch funktionieren. Aber: Unter bestimmten Umständen stören die sich gegenseitig. Und dann kann es sein, dass eine Funktion des DRKCMS (z.B. das Menü. Die Suche. Ein Formular) gestört wird. (Und falls das passiert, und wir die Ursache für Sie suchen müssen, wäre das in der Regel kostenpflichtiger Aufwand). Bei unbekannten Quellen sollten Sie zudem aus Sicherheitsgründen (supply-chain-Attacke, der Anbieter kann Schadcode in Ihre DRKCMS-Webseite schmuggeln) dankend ablehnen.
b) Sie führen eine Auftragsdatenverarbeitung durch. Eine Datenverarbeitung ist es, weil der Anbieter direkt mit dem Browser der besuchenden Person kommuniziert (damit sieht der Anbieter die IP-Adresse der Person). Und in Ihrem Auftrag, denn Sie liefern den Code ja an den Browser aus. Und eine solche Auftragsdatenverarbeitung ist laut Art. 6 Abs 1 der DSGVO nur unter bestimmten Bedingungen zulässig,.
Eine dieser Bedingung ist der Buchstabe b, "Erfüllung eines Vertrags (..) oder zur Durchführung vorvertraglicher Maßnahmen" mit der Person gegenüber. Die Anmeldung zu einem Kurs, oder auch eine Bewerbung auf eine konkrete Stelle dient dazu, einen Vertrag einzugehen. Die bloße Anzeige von Kursen oder offenen Stellen dürfte aber noch zu allgemein sein (wie wollen Sie davon ausgehen, dass die Person einen konkreten Arbeitsvertrag mit Ihnen eingehen will, wenn sie sich ja erstmal nur über die offenen Stellen informieren will?).
Eine weitere mögliche Bedingung ist der Buchstabe f, "zur Wahrung der berechtigten Interessen", ein absoluter Gummi-Paragraph. Beim Google-Fonts-Urteil (vom 30.03.2023, Az 3 O 13063/22) hat das Landgericht München geurteilt, dass das Nachladen von Schriften vom Google-Server (technisch vergleichbare Auftragsdatenverarbeitung) kein berechtigtes Interesse ist, weil es eine datenschutzkonforme Lösung geben würde (Schriften auf den eigenen Server) und nur aus technischer Bequemlichkeit nicht gemacht wurde.
Auf das DRKCMS-Beispiel bezogen: Die in "Teil 1" und "Teil 2" dieses Hilfeartikels beschriebenen Schnittstellen zeigen, dass es datenschutzkonform geht (der Browser der Person kommuniziert nur mit uns, wir fragen hintenraus bei der DLDB, bei LEO oder bei HiOrg-Server nach, keine Auftragsdatenverarbeitung mit dritten nötig). Denkt man jetzt die Argumentation des LG München weiter, dann könnte man argumentieren, dass auch hier eine per HTML/JavaScript eingebundene Auftragsdatenverarbeitung lediglich technische Bequemlichkeit ist und darum kein berechtigtes Interesse rechtfertigt.
Bliebe Buchstabe a, die "Person hat ihre Einwilligung (...) gegeben". Das geht z.B. über ein Consent-Zustimmungstool (falls noch nicht vorhanden, können Sie das im DRKCMS-Marktplatz im Bereich Technik aktivieren). In diesem Fall nutzen Sie bei der Einbindung bitte statt "HTML-Quellcode" das Inhaltselement "DSGVO-konforme HTML-Einbindung", dann wird der Code nur ausgefüllt, wenn vorher "Zustimmen" geklickt wurde. Mit der Lösung würden Sie datenschutzseitig auf Nummer sicher gehen, sie sieht aber (natürlich) nicht so schön aus.
Bitte klären Sie mit Ihrem Datenschutzbeauftragen, welcher Weg für Ihren Anwendungsfall der richtige ist.