BayLDA führt Datenschutzprüfungen durch – Art 5 Abs 2 DSGVO

Datenschutzprüfungen durch das BayLDA

Seit dem 06.11.2018 werden durch das BayLDA 15 kleine (ab 100 Mitarbeitern) und mittelständische (ab 500 Mitarbeitern) Unternehmen auf Grundlage des Art. 5 Abs. 2 DSGVO geprüft. Hier ist die sog. "Rechenschaftspflicht" festgelegt, was bedeutet, dass die Einhaltung der gesetzlichen Anforderungen durch das Unternehmen der Aufsichtsbehörde (in diesem Falle das BayLDA) bei der Kontrolle dargestellt werden muss.

Auch sind hier laut Aussage des BayLDA Vor-Ort-Kontrollen bei mindestens 5 der 15 KMUs geplant. Von diesen 15 Unternehmen wurden 8 Unternehmen zufällig ausgewählt, für die anderen 7 Unternehmen gab es in der vergangenen Zeit gehäuft Datenschutzbeschwerden beim BayLDA.

Seit dem 01.10.2018 werden auch 3 (Groß-)Konzerne in Bayern mit dem Ziel geprüft, ob die Einhaltung der Datenschutzgrundverordnung im Unternehmensalltag verankert ist und in der sog. Ablauforganisation drei Kernprozesse wirksam ausgestaltet sein sollten:

  1. Datenschutzkonforme Verarbeitung
  2. Umgang mit Betroffenenrechten
  3. Umgang mit Datenschutzverletzungen

Darüber hinaus werden seit dem 12.10.2018 Arztpraxen verschiedener medizinischer Fachbereiche geprüft, um deren Umgang und Prävention von Angriffen mittels Verschlüsselungstrojaner und sich daraus ergebende Lösegeldforderungen zu kontrollieren. Hier kann es schnell durch das Einsetzen eines Verschlüsselungstrojaners zu einem fehlenden Zugriff auf sensible Patienten- und Behandlungsdaten kommen, wodurch eine zeitnahe Behandlung nicht mehr garantieren werden kann.

Bei 15 weiteren größeren Unternehmen wird derzeit die Verarbeitung von personenbezogenen Daten in Bewerbungsverfahren untersucht. Schwerpunkt bei dieser Untersuchung ist die korrekte Umsetzung der Informationspflicht von Unternehmen gegenüber den Bewerbern und deren Aufklärung über den Umgang mit Ihren Daten.

Das BayLDA hat veröffentlicht, dass bei weiteren 15 größeren Unternehmen mit vielen Dienstleistern im internationalen Umfeld eine Überprüfung der folgenden Fragestellung stattfinden wird: Warum lag bei der Meldung von "Datenpannen" bislang die Risikoursache fast ausschließlich beim verantwortlichen Unternehmen in Bayern, aber kaum bei (internationalen) Dienstleistern. Auf Grundlage der DSGVO ist es erforderlich, dass auch Verletzungen der Sicherheit bei Dienstleistern (auch bei weiterer Unterauftragsvergabe!) für die Verantwortlichen eine Meldepflicht darstellt.

Das BayLDA hat schon im Frühjahr eine Überprüfung des Patch Managements bei Content Management Systemen für Internetauftritte, mit Schwerpunkt auf WordPress, durchgeführt. Hierbei wurden 172 Internetauftritte überprüft.

Die Fragestellungen der Überprüfungen sowie die hieraus resultierenden Ergebnisse sind hilfreiche Handreichungen, um sich auf evtl. Anfragen der Aufsichtsbehörden zu den geprüften Themenbereichen vorzubereiten.

.