Bei der Datenschutzgrundverordnung (kurz: DSGVO) handelt es sich um ein EU-Gesetz, das bereits mit 25. Mai 2016 in Kraft getreten ist; nach dem Ende der zweijährigen Übergangsfrist, also ab dem 25. Mai 2018, wird das Gesetz dann für alle Mitgliedsländer der Europäischen Union verpflichtend. „Allgemeine Grundsätze“ bleiben zwar gleich, werden aber „konkreter umgesetzt“; auch Spezialgesetzgebungen (dazu gehören etwa das Telekommunikationsgesetz oder auch das Telemediengesetz) werden nicht durch die DSGVO ersetzt.
Zweijährige Übergangsfrist ist vorbei – DSGVO gilt ab 25. Mai 2018
Es ist die „Verordnung (EU) 2016/79 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung“, die am 25. Mai 2018 endgültig in Kraft treten und dem Datenschutz dienen wird. Eine grundsätzlich zu begrüßende Verordnung. Problematisch ist jedoch der Umstand, dass viele Bereiche nun ab dem 25. Mai 2018 reglementiert werden, die bislang aber nicht geregelt wurden. Das heißt, dass man zwar Vorkehrungen treffen kann, jedoch kann nicht zu 100 Prozent gesagt werden, ob diese auch ausreichend sind. Vor allem müssen Privatpersonen, so etwa Blogbetreiber, vorsichtig sein – wer geklagt wird, weil angeblich gegen die DSGVO verstoßen wurde, kann mit einer Geldstrafe bis zu 20 Millionen Euro bestraft werden.
Das Verfahrensverzeichnis
Der Blogbetreiber muss darauf achten, dass auf der Seite ein Verfahrensverzeichnis vorzufinden ist. Ein Link sollte direkt im Impressum eingebaut sein. Der Sinn des Verfahrensverzeichnisses? Hier wird aufgezählt, welche Informationen verarbeitet werden. Auch eine Datenschutzerklärung muss ab 25. Mai auf Blogs und Websites vorzufinden sein – ist zwar nicht spannend und wird wohl keiner der Besucher lesen, jedoch, so die EU-Verordnung, Pflicht. Wichtig ist, dass die Datenschutzerklärung und auch das Impressum von jeder Seite per Mausklick erreicht werden können. Dabei ist jedoch zu beachten, dass man das Kleingedruckte nicht im Untermenü versteckt oder durch ein Pop-Up verdeckt – das wäre nämlich verboten und somit ein Verstoß gegen die DSGVO.
Die Cookies
Neu ist es nicht, dass man darauf hinweisen muss, wenn es um die Verwendung von Cookies geht. Mit der DSGVO wird der Hinweis jedoch Pflicht. Mittels „Cookie Notice“ können Besucher darauf hingewiesen werden, dass die Seite Cookies benutzt. Das Plug-in eignet sich hervorragend für mehrsprachige Websites und Blogs.
Worauf zu achten ist, wenn Besucher Kommentare verfassen
Blogbetreiber möchten natürlich, dass ihre Beiträge von Usern kommentiert werden. Was wäre also ein Blog ohne eine Kommentarfunktion? Ab dem 25. Mai gibt es auch hier ein paar Änderungen, die Blogbetreiber berücksichtigen müssen. Wer einen Kommentar abgibt, der hinterlegt manchmal seinen Namen, fast immer seine E-Mail-Adresse und auch in manchen Fällen seine Webseite im Blog-System. Genau dieser Hinterlegung muss der Verfasser des Kommentars nun explizit zustimmen. Doch auch hier gibt es bereits Plug-ins, die dabei helfen, die Voraussetzungen der DSGVO zu erfüllen – eine Möglichkeit ist etwa WG GDPR Compliance.
Google Analytics – jetzt wird es noch komplizierter
Stellte die Verwendung von Google Analytics eine bislang große Herausforderung in Sachen Datenschutz dar, so muss sich nun jeder Blogbetreiber bewusst werden, dass es unter Berücksichtigung der DSGVO nicht einfacher wird. Die IP-Adressen-Anonymisierung reicht nicht mehr aus. Wer Google Analytics nutzt, der muss in der Datenschutzerklärung darauf hinweisen. Es muss auch ein Hinweis vorhanden sein, wie der Nutzer die Google Analytics-Erfassung umgehen kann. Aufgrund der Tatsache, dass die Daten, die von Google Analytics erfasst werden, direkt an Google gehen, braucht der Blogger auch einen Auftragsdatenverarbeitungsvertrag mit Google. Unter „Zusatz anzeigen“, zu finden in den Kontoeinstellungen von Google Analytics, kann der Bereich „Zusatz zur Datenverarbeitung“ angeklickt werden.
Zu beachten ist, dass man hier zwar die Richtlinien der DSGVO erfüllt, jedoch nicht die des Bundesdatenschutzgesetzes. Denn wirft man einen Blick in das Bundesdatenschutzgesetz (kurz: BDSG), so ist ein schriftlicher Vertrag erforderlich. Also Mustervertrag ausdrucken, unterschreiben und dann ins Zentrum nach Dublin schicken.
Anmerkung: Dieser Artikel hat einen rein informativen Charakter und ist nicht rechtsverbindlich.