TYPO3-Updates und DSGVO: Warum "läuft doch" teuer wird

Hinweis: Ich bin kein Rechtsanwalt, sondern TYPO3-Integrator. Dieser Artikel gibt meine Einschätzung der rechtlichen Lage wieder, ersetzt aber keine juristische Beratung.

"Die Website läuft doch" – diesen Satz höre ich regelmäßig, wenn es um TYPO3-Updates geht. Kunden verstehen oft nicht, warum sie Geld für etwas ausgeben sollen, was scheinbar keinen sichtbaren Nutzen bringt. Leider übersehen dabei sowohl Kunden als auch manche Agenturen ein wichtiges Detail: Die DSGVO macht Updates von einer "netten Idee" zu einer rechtlichen Notwendigkeit.

Was die DSGVO wirklich fordert

Die DSGVO schreibt nicht explizit vor, dass du immer die neueste TYPO3-Version nutzen musst. Das wäre auch unrealistisch – nicht jeder kann alle 1,5 Jahre ein Major-Update stemmen. Aber sie fordert etwas anderes: den "Stand der Technik" (Artikel 32).

Das bedeutet konkret: Dein System muss so sicher sein, wie es mit angemessenem Aufwand möglich ist. Und hier wird's interessant für alle, die gerne Updates aufschieben.

Der Moment, wo "läuft doch" zum Problem wird

Stell dir vor: Du betreibst eine TYPO3-Installation, für die es seit zwei Jahren keine Sicherheitsupdates mehr gibt. Dann passiert, was irgendwann passieren musste – ein Angriff über eine bekannte Sicherheitslücke. Kundendaten sind weg, du musst den Vorfall innerhalb von 72 Stunden melden (Artikel 33) – und die zuständige Datenschutz-Aufsichtsbehörde wird aktiv.

Jetzt wird aus "haben wir Geld gespart" schnell "hätten wir mal investiert". Denn die Behörden fragen nicht, ob das Update teuer gewesen wäre. Sie fragen, ob du fahrlässig gehandelt hast. Und wer ein System mit bekannten Sicherheitslücken betreibt, kann aus deren Sicht als fahrlässig bewertet werden.

Die teure Wahrheit über gesparte Updates

Hier die Dimensionen, mit denen wir rechnen müssen:

Bußgelder: Bis zu 20 Millionen Euro oder 4% des Jahresumsatzes – je nachdem, was höher ist. Klingt nach Großkonzern-Problemen? Kleine Unternehmen bekommen trotzdem schnell vier- bis fünfstellige Beträge (Artikel 83). 

Schadensersatz: Betroffene Personen können individuell Schadenersatz fordern. Bei einem größeren Datenabfluss summiert sich das.

Reputationsschaden: Wenn bekannt wird, dass deine Systeme unsicher waren, ist das Vertrauen weg. Kunden wechseln, Aufträge bleiben aus.

Das macht ein 3.000-Euro-Update plötzlich zum Schnäppchen, oder?

Was viele übersehen: Es geht um mehr als TYPO3

Die DSGVO-Anforderungen betreffen nicht nur den TYPO3-Core. Auch Extensions, PHP, die Datenbank und der Webserver müssen aktuell gehalten werden. Eine veraltete Extension mit Sicherheitslücke reicht für ein Problem.

Das bedeutet: Du brauchst ein Wartungskonzept für das gesamte System, nicht nur für TYPO3 selbst.

Wann musst du wirklich updaten?

Hier die gute Nachricht: Du musst nicht jede neue Version sofort installieren. Entscheidend ist der Support-Status:

• Läuft noch regulärer Support? Du musst alle Sicherheitsupdates einspielen, aber kein Major-Upgrade.
• Läuft noch Extended Support (ELTS)? Gleiches Spiel, aber du zahlst für den Support.
• Kein Support mehr? Jetzt wird's kritisch. Upgrade ist Pflicht.

Bei TYPO3 hast du durch die LTS-Versionen meist mehrere Jahre Zeit für die Planung. Mit kostenpflichtigem Extended Long Term Support (ELTS) sogar noch länger. Aber irgendwann ist auch die längste Supportzeit vorbei.

Was Agenturen ihren Kunden schulden

Als Agentur oder Freelancer trägst du Verantwortung. Wenn du weißt, dass ein Kundensystem unsicher ist, und sagst nichts, könntest du dich mitschuldig machen. Du solltest:

1. Aufklären: Kunden über Risiken veralteter Systeme informieren
2. Beraten: Realistische Upgrade-Pfade aufzeigen
3. Dokumentieren: Deine Beratung schriftlich festhalten

Wer nur "läuft doch" sagt und schweigt, könnte später selbst haftbar gemacht werden.

Tipps für Dienstleister

Kunden überzeugen ohne Panik: Rede nicht von "DSGVO-Zwang", sondern von Sicherheit und Stabilität. Vergleiche helfen: "Würden Sie mit abgefahrenen Reifen auf der Autobahn fahren?" Oder zeig konkrete Beispiele von gehackten Websites in ihrer Branche. Meist wirkt das besser als Paragrafen-Gerede. Wenn das nicht hilft, darfst du gerne den "DSGVO-Hammer" rausholen - manche kapieren es nur auf die harte Tour.

Was tun bei hartnäckigen Verweigerern: Dokumentiere deine Beratung schriftlich. Schicke eine E-Mail mit klarer Risikoaufklärung und bitte um schriftliche Bestätigung, dass der Kunde trotz Warnung auf Updates verzichtet. Das schützt dich rechtlich. Bei kritischen Fällen (komplett veraltete Systeme mit Kundendaten) solltest du ehrlich prüfen, ob du die Betreuung beenden musst.

Mein Rat: Macht Updates zum Standard-Prozess, nicht zur Ausnahme. Plant Wartungsbudgets von Anfang an ein. Und erklärt euren Kunden, dass Sicherheitsupdates keine Option sind, sondern Pflicht.

Denn am Ende ist es wie beim Auto: Wer nicht zur Inspektion geht, riskiert Schäden. Bei Websites passiert das schleichender, aber die Folgen können genauso existenzbedrohend sein - hier geht's um Kundendaten, Reputation und empfindliche Bußgelder.

Die DSGVO hat aus der Wartung eurer TYPO3-Systeme eine Rechtspflicht gemacht. Wer das ignoriert, spielt russisches Roulette – mit dem eigenen Business als Einsatz.

Rechtliche Absicherung: Die hier dargestellten rechtlichen Aspekte basieren auf meiner Interpretation als TYPO3-Integrator. Für verbindliche juristische Beratung zu DSGVO-Compliance und Haftungsfragen wendet euch an spezialisierte Rechtsanwälte für Datenschutz- und IT-Recht.