Datenschutzprüfungen bei Unternehmen und Ärzten nach der DS-GVO

Bayern: Behörde kündigt „flächendeckende Kontrollen“ an

Seit Mitte November 2018, das heißt ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO), hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nach eigenen Angaben seine Prüfaktivitäten wieder verstärkt aufgenommen und neue flächendeckende Datenschutzkontrollen in Bayern angestoßen. Laut Presseinformation stehen im Fokus der aktuellen Prüfungen: Der sichere Betrieb von Online-Shops, der Schutz vor Verschlüsselungstrojanern in Arztpraxen, die Erfüllung der Rechenschaftspflicht bei Großkonzernen und mittelständischen Unternehmen sowie die Umsetzung der Informationspflichten in Bewerbungsverfahren.

Wir zitieren im Folgenden auszugsweise aus der Pressemitteilung:

[…]

Übergang zur DS-GVO

Das BayLDA ist als Aufsichtsbehörde für die Kontrolle der Einhaltung der datenschutzrechtlichen Vorgaben im nichtöffentlichen Bereich in Bayern zuständig. Das bedeutet, dass durch gezielte Prüfungen regelmäßig festgestellt werden muss, inwieweit den gesetzlichen Vorgaben bei Unternehmen, Vereinen und Verbänden sowie freiberuflich Tätigen – nach DS-GVO „Verantwortliche“ genannt – tatsächlich Rechnung getragen wird. In den vergangen Jahren hatte das BayLDA bereits zahlreiche Datenschutzprüfungen durchgeführt. Mit persönlichen Vor-Ort-Kontrollen einzelner Betriebe, automatisierten Online-Audits bei tausenden Unternehmen sowie schriftlichen Großprüfungen mit mehrseitigen Fragebögen wurde bislang ein breites Prüfspektrum abgedeckt.

Durch den Übergang zur DS-GVO hat das BayLDA vergangenen Jahr schwerpunktmäßig über die Neuerungen der Verordnung informiert, damit Unklarheiten möglichst rasch beseitigt werden und Verantwortliche erfahren, was sich im Vergleich zum bisherigen Datenschutzrecht für sie geändert hat. Mit den nun gestarteten DS-GVO-Prüfungen müssen die Verantwortlichen dem BayLDA nachweisen, dass sie die neuen Vorgaben kennen und erfüllen. Ziel ist es dabei allerdings nicht, kleine Betriebe mit Datenschutzkontrollen zu überfordern, sondern größere und risikobehaftete Organisationen hinsichtlich möglicher Gefährdungsquellen zu sensibilisieren und darauf hinzuwirken, dass personenbezogene Daten gerade dort wirksam und angemessen geschützt werden. Im Nachgang zu den schriftlichen Prüfungen werden ausgewählte Unternehmen zum Teil auch vor Ort besucht und die gemachten Angaben auf Richtigkeit kontrolliert. Nachfolgend werden die Prüfungen aufgelistet, die vor kurzem gestartet wurden.

Prüfung 1: Sicherer Betrieb von Online-Shops (Cybersicherheit)

[…]

Prüfung 2: Verschlüsselungstrojaner in Arztpraxen (Cybersicherheit)

Verschlüsselungstrojaner („Ransomware“) sind auch in Bayern weiterhin aktiv: Durch die Schadsoftware wird der Zugriff auf Daten gesperrt und anschließend Lösegeld gefordert, um die Daten wieder im ursprünglichen Zustand zu erhalten. Meldungen über einen Befall von Arbeitsplatzrechnern bei bayerischen Verantwortlichen erreichen das BayLDA wöchentlich. Im Falle einer Infektion kann sich die Schadsoftware unter Umständen im gesamten Netzwerk der betroffenen Organisation ausbreiten. Ohne Datensicherung (Backups) kann nur in wenigen Fällen eine Wiederherstellung der Daten mühelos erfolgen. Meist haben infizierte Unternehmen dennoch große Probleme, wieder zu einem geregelten Arbeitsalltag zurückzukehren. Aus diesem Grund sind regelmäßige Datensicherungen und die Sensibilisierung der Mitarbeiter wertvolle Vorbeugemaßnahmen.

Betroffen sind nach den eingehenden Meldungen beim BayLDA oft Ärzte und kleinere Betriebe, die sich entweder der Gefährdungslage nicht bewusst waren oder nur über unzureichende Sicherheitsmaßnahmen verfügten. Das BayLDA hat sich deshalb entschieden, Ärzte zum Umgang und Prävention von Ransomware-Attacken zu kontrollieren. Ziel dieser Datenschutzprüfung ist es, für ein geeignetes und wirksames Backupverhalten bei Ärzten zu sorgen, damit Patientendaten vor der realen Gefahr solcher Kryptotrojaner angemessen geschützt werden.

Prüfung 3: Rechenschaftspflicht bei Großkonzernen

[…]

Prüfung 4: Erfüllung der Informationspflichten in Bewerbungsverfahren

Bereits im Jahr 2015 hat das BayLDA in einer Großprüfung Unternehmen daraufhin kontrolliert, ob mit Bewerberdaten sachgemäß umgegangen wird. Dabei wurden einige Mängel vorgefunden, die erst im Rahmen der Aufarbeitung behoben wurden. Mit dieser Erfahrung entschied sich das BayLDA deshalb nun im Oktober 2018, erneut bei zufällig ausgewählten Verantwortlichen die Verarbeitung personenbezogener Daten in Bewerbungsverfahren zu untersuchen.

Schwerpunkt ist dieses Mal, inwieweit die Informationspflicht gegenüber den Bewerbern korrekt umgesetzt wird und Bewerber letztendlich auch erfahren, wie mit ihren Daten umgegangen wird. Hierzu werden derzeit 15 Verantwortliche in Bayern, ausschließlich größere Betriebe und Vereine, geprüft.

Prüfung 5: Umsetzung der DS-GVO bei kleinen und mittelständischen Unternehmen (KMUs)

Auch bei kleinen und mittleren Unternehmen stellt sich die Frage nach dem Stand der Umsetzung der DS-GVO. In einer Prüfung zur allgemeinen Datenschutzorganisation sind 20 Fragen zu beantworten und zum Teil Unterlagen vorzulegen. Ein Schwerpunkt der Kontrolle stellt die Berücksichtigung des risikoorientierten Ansatzes der DS-GVO dar, der im Prinzip bedeutet, dass technische und organisatorische Schutzmaßnahmen entsprechend des Risikos aber auch nach der Größe und Art des Unternehmens auszuwählen sind. Die 15 geprüften Unternehmen (mit jeweils über 100 Mitarbeitern) wurde nach folgenden Kriterien ausgesucht: Die Hälfte ist beim BayLDA bereits durch Beschwerden aufgefallen. Ansonsten wurden Verantwortliche aus unterschiedlichen Branchen aus ganz Bayern berücksichtigt.

Ausblick auf anstehende Kontrollen: Sub-Dienstleister-Einsatz und Löschen bei SAP-Systemen

Das BayLDA wird in den nächsten Wochen weitere Prüfungen beginnen. So stehen bereits zwei neue Kontrollen in den Startlöchern: Zum einen soll bei großen, international agierenden Unternehmen geprüft werden, ob diese bei der Auswahl von Dienstleistern die Datenschutzvorgaben einhalten und insbesondere auch bei Datenschutzverletzungen bestehende Meldeprozesse etabliert haben. Zum anderen wird das Thema „Löschen von Daten“, schwerpunktmäßig bei SAP-Systemen, den Rahmen einer weiteren Prüfung bilden.

[…]

Das BayLDA stellt alle Informationen zu den genannten Datenschutzprüfungen mit Musterschreiben und Infoblättern auf seiner Website zur Verfügung: www.lda.bayern.de/de/kontrollen.html

Quelle: Pressemitteilung der BayLDA von November 2018