Datenschutz-Info IV/18 geralt @ pixabay
08 Nov
2018

Datenschutz-Info IV/18

Published in Datenschutz

Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) hat in einer Pressemitteilung vom 7. November angekündigt, dass es aktuell verschiedene Prüfungen in bayrischen Unternehmen und Arztpraxen durchführt.

Ziele der Überprüfung sind die Cybersicherheit sowie der Stand der Umsetzung der Datenschutzgrundverordnung (DSGVO).

Im Zuge der Prüfmaßnahmen zur Cybersicherheit werden unter anderem Arztpraxen besucht und Online-Shops zur Aktualität eingesetzter Techniken befragt.

Zum Thema DSGVO versendet die Behörde Fragebögen an 15 kleine und mittelständische Unternehmen sowie drei ausgesuchte Großkonzerne.

Stichprobenhafte Überprüfungen durch die zuständigen Aufsichtsbehörden sind nicht neu. Sie wurden bereits unter dem Bundesdatenschutzgesetz von Zeit zu Zeit durchgeführt.

Wichtig: Im Nachgang zu einer fragbogengestützten Prüfung plant das BayLDA die gemachten Angaben teilweise auf Richtigkeit zu kontrollieren, indem es u. a. Unterlagen nachfordert und bei angeschriebenen Betrieben auch vor Ort auftaucht.

Für das Saarland habe es laut der zuständigen Landesbeauftragten Monika Grethel 20 Verstöße seit dem Inkraft-Treten der Verordnung gegeben, meldet die Saarbrücker Zeitung in einem Bericht vom 06.11.18. In selben Artikel werden Kontrollen vor Ort ebenfalls thematisiert.

„Nach Auskunft der Leiterin konzentriert sich das Unabhängige Datenschutzzentrum Saarland derzeit vor allem noch darauf, Unternehmen, Vereinen und Behörden mit Rat und Tat zur Seite zu stehen. Demnächst soll es dann aber auch Kontrollen vor Ort geben.“i

Da das BayLDA eine Art Vorreiterrolle erfüllt, darf davon ausgegangen werden, dass die Landesaufsichten der anderen Länder in nächster Zeit mit ähnlichen Prüfungen nachziehen.

Unser kurzer Überblick dient der Orientierung, wen eine Überprüfung betreffen und um was es dabei gehen könnteii.

Prüfung 1: Sicherer Betrieb von Online-Shops (Cybersicherheit)

Aufgrund der sehr hohen Gefährdungslage im Internet setze das BayLDA weiter auf präventive Maßnahmen zur Cybersicherheit für bayerische Verantwortliche, damit personenbezogene Daten von diesen angemessen und wirksam vor den täglichen Gefahren im digitalen Zeitalter geschützt werden.

„Im Fokus der aktuellen Cybersicherheitskontrolle befindet sich der Einsatz von Online-Shops. Zwanzig bayerische Online-Shops, zufällig aus allen Branchen zusammengestellt, wurden hinsichtlich der Verwendung von veralteten und unsicheren eCommerce-Systemen geprüft. Die Unternehmen haben ein detailliertes Prüfschreiben erhalten und sind aufgerufen, festgestellte Defizite zu beheben. Hintergrund dieser Prüfung ist, dass dem BayLDA in den vergangenen Monaten immer wieder Hacking-Vorfälle von Online-Shops bekannt wurden, bei denen Angreifer meist erfolgreich versuchten, Zahlungsdaten der Kunden „mitzulesen“ und später für fremde Transaktionen zu missbrauchen. Damit das nicht geschieht, müssen Websitebetreiber durch regelmäßige Aktualisierungen (Patch Management) Sicherheitsupdates einspielen, um so vorhandene Lücken zeitnah zu schließen.“

Prüfung 2: Verschlüsselungstrojaner in Arztpraxen (Cybersicherheit)

Verschlüsselungstrojaner („Ransomware“) sind auch in Bayern weiterhin aktiv: Die Schadsoftware versperrt den Zugriff auf Daten und fordert Lösegeldzahlungen, um die Daten wieder im ursprünglichen Zustand zu erhalten. Wöchentlich gingen bei der Behörde Meldungen zu Kryptotrojanern ein.

„Im Falle einer Infektion kann sich die Schadsoftware unter Umständen im gesamten Netzwerk der betroffenen Organisation ausbreiten. Ohne Datensicherung (Backups) kann nur in wenigen Fällen eine Wiederherstellung der Daten mühelos erfolgen. Meist haben infizierte Unternehmen dennoch große Probleme, wieder zu einem geregelten Arbeitsalltag zurückzukehren. Aus diesem Grund sind regelmäßige Datensicherungen und die Sensibilisierung der Mitarbeiter wertvolle Vorbeugemaßnahmen.
Betroffen sind nach den eingehenden Meldungen beim BayLDA oft Ärzte und kleinere Betriebe, die sich entweder der Gefährdungslage nicht bewusst waren oder nur über unzureichende Sicherheitsmaßnahmen verfügten. Das BayLDA hat sich deshalb entschieden, Ärzte zum Umgang und Prävention von Ransomware-Attacken zu kontrollieren. Ziel dieser Datenschutzprüfung ist es, für ein geeignetes und wirksames Backupverhalten bei Ärzten zu sorgen, damit Patientendaten vor der realen Gefahr solcher Kryptotrojaner angemessen geschützt werden.“

Prüfung 3: Rechenschaftspflicht bei Großkonzernen

Ob Unternehmen relevante Datenschutzanforderungen in der Praxis tatsächlich umsetzen, sei für das BayLDA nicht immer leicht erkennbar – zumindest wenn keine Vor-Ort-Kontrolle stattfindet. Durch die DS-GVO habe sich diese Situation jedoch verändert und eine Art „Nachweislast-Umkehr“ ergeben: Die Aufsichtsbehörde müsse nicht mehr selbst Verstöße beim Unternehmen feststellen, sondern das geprüfte Unternehmen müsse nachweisen, dass es die Vorgaben der DS-GVO einhält („Rechenschaftspflicht“).

„Das BayLDA hat drei Großkonzernen jeweils 50 Fragen gestellt und prüft damit, ob in der jeweiligen Organisation eine datenschutzkonforme Verarbeitung personenbezogener Daten stattfindet und mit Betroffenenrechten sowie Datenschutzverletzungen richtig umgegangen wird. Ziel dieser Prüfung ist es also zudem festzustellen, inwieweit große Unternehmen in der Lage sind, die Einhaltung der gesetzlichen Vorgaben aus der DS-GVO auch nachzuweisen. Nach Auswertung der Antworten wird jedes der angeschriebenen Unternehmen einer Vor-Ort-Kontrolle unterzogen“.

Prüfung 4: Erfüllung der Informationspflichten in Bewerbungsverfahren

Anlässlich einer in 2015 durchgeführten Großprüfung stellte das BayLDA Mängel beim sachgemäßen Umgang mit Bewerbungsunterlagen fest, die erst anschließend aufgearbeitet wurden. Das veranlasst das Amt bei größeren Betrieben und Vereinen im Oktober 2018 erneut eine Stichprobe zu nehmen.

„Schwerpunkt ist dieses Mal, inwieweit die Informationspflicht gegenüber den Bewerbern korrekt umgesetzt wird und Bewerber letztendlich auch erfahren, wie mit ihren Daten umgegangen wird. Hierzu werden derzeit 15 Verantwortliche in Bayern, ausschließlich größere Betriebe und Vereine, geprüft.“

Prüfung 5: Umsetzung der DS-GVO bei kleinen und mittelständischen Unternehmen (KMUs)

Auch bei kleinen und mittleren Unternehmen stelle sich die Frage nach dem Stand der Umsetzung der DS-GVO. In einer Prüfung zur allgemeinen Datenschutzorganisation stellt das Landesamt 20 Fragen und fordert teilweise die Vorlage entsprechender Unterlagen.

„Ein Schwerpunkt der Kontrolle stellt die Berücksichtigung des risikoorientierten Ansatzes der DS-GVO dar, der im Prinzip bedeutet, dass technische und organisatorische Schutzmaßnahmen entsprechend des Risikos aber auch nach der Größe und Art des Unternehmens auszuwählen sind.“

Bei den 15 zur Prüfung ausgewählten Unternehmen liegt die Betriebsgröße mit jeweils über 100 Mitarbeitern im mittleren Größenbereich. Etwa die Hälfte (7) sei dem BayLDA bereits durch Beschwerden aufgefallen. Beim Rest wurden Verantwortliche aus unterschiedlichen Branchen aus ganz Bayern berücksichtigt. Vor-Ort-Kontrollen sind in 5-15 Fällen geplant.

Bei den Datenschutzprüfungen, erläutert Thomas Kranig, Präsident des BayLDA, gehe es primär um Klärung:

„Unser Ziel ist es daher, nun durch aktive Prüfungen aufzuzeigen, was tatsächlich Prüfmaßstab ist und von den Verantwortlichen erwartet wird. Damit der Verwaltungsaufwand für unsere Behörde in Zeiten, in denen wir nach wie vor mit unzähligen Beschwerden und Meldungen über Datenschutzverletzungen überschüttet werden, überschaubar bleibt, beziehen wir im Rahmen der genannten Prüfungen derzeit nur relativ wenige Verantwortliche ein, veröffentlichen aber gleichzeitig die Prüfschreiben und dazugehörigen Informationsblätter, damit auch alle anderen Unternehmen nachvollziehen können, was wir tatsächlich abfragen und dann selbst prüfen können, ob sie die Anforderungen erfüllen.“

Dem Kommentar entsprechend veröffentlicht die Aufsichtsbehörde die Prüfbögen und Infoblätter unter http://www.lda.bayern.de/de/kontrollen.html

----

ii Die Pressemitteilung steht unter https://www.lda.bayern.de/media/pm2018_17_de.pdf zum Herunterladen und Lesen bereit (zuletzt abgerufen am 08.11.18)

Last modified on Sonntag, 11 November 2018 21:03
Tagged under
More in this category: Nichts neues in der DSGVO? »