Heute habe ich eine Mandantenanfragen erhalten, bei der es um eine Beschwerde eines Bürgers wegen Mängel auf einer Internetseite ging.
Folgende Punkte hatte die Aufsichtsbehörde geprüft und moniert:
- Kontaktformular ohne eine dem Stand der Technik entsprechende Verschlüsselungsmethode (SSL-Zertifikat fehlt).
- Datenschutzerklärung macht Ausführungen zu Google-Analytics, obwohl das gar nicht eingesetzt wird (Klassiker!. Wenn es eingesetzt werden würde, vermute ich allerdings, dass sie auch nicht zufrieden gewesen wären).
- Webhoster Strato in der Datenschutzerklärung nicht aufgeführt (Ich würde allerdings aus Sicherheitsgründen nicht empfehlen den tatsächlichen Webhoster zu nennen. Strato muss m.E. namentlich nicht genannt werden, es reicht die Nennung der Kategorien der Dienstleister „Webhoster“. Ich würde es Service Provider nennen. Sehr instruktiv hierzu: https://www.datenschutz-notizen.de/datenempfaenger-wie-konkret-ist-aufzuklaeren-5039122/). Es wird auch darauf hingewiesen, dass ein Vertrag nach Art. 28 DSGVO zu schließen sein. Eingefordert wird der aber nicht (ist auch nicht sehr spannend, da man den einfach irgendwo herunterladen kann).
- Die LDI NRW hätte sich als Aufsichtsbehörde gerne in der Datenschutzerklärung namentlich genannt (Es reicht m.E. auf das generelle Beschwerderecht bei EINER Aufsichtsbehörde hinzuweisen. Eine konkrete Benennung ist nicht gefordert. Es könnten ja auch mehrere in Betracht kommen. Schadet aber offensichtlich wohl auch nicht).
- Es werden externe Fonts genutzt, ohne dass darauf in der Datenschutzerklärung hingewiesen wird (Ausnahmsweise mal nicht Google Fonts).
Vielleicht schauen Sie Ihrer Seite auch mal wieder nach solchen Punkten durch. Wie man sieht sollte man seiner Datenschutzerklärung einfach mehr Beachtung schenken.
