Copyright: www.muellerprange.com

Datenschutzprüfungen bei bayerischen Unternehmen und Ärzten (BayLDA, 7. Nov. 2018)

Die Datenschutzaufsichtsbehörden der Bundesländer prüfen schon seit Jahren die Umsetzung des Datenschutzes gemäß Bundesdatenschutz-gesetz (BDSG) in Unternehmen. Mit der europäischen Datenschutz-Grundverordnung (DSGVO) dürften diese Prüfungen häufiger und umfas-sender werden. Ein wesentlicher Grund dafür sind die deutlich umfang-reicheren Dokumentationspflichten. Weil unter der DSGVO empfindliche Bußgelder für Datenschutzverstöße drohen, sind Unternehmen gut beraten, genau zu wissen, wie die Aufsichtsbehörden vorgehen. Die jeweils aktuellen Prüfungen finden Sie in diesem Artikel.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat seine Prüfaktivitäten wieder verstärkt aufgenommen und neue flächendeckende Datenschutzkontrollen in Bayern angestoßen. Dabei werden unter anderem Arztpraxen auf ihre Cybersicherheit (Stichwort „Ransomware“) überprüft und Fragebögen an kleine und mittelständische Unternehmen versandt.
Laut Pressemitteilung des BayLDA sei es nicht das Ziel, kleine Betriebe mit Datenschutzkontrollen zu überfordern, sondern größere und risikobehaftete Organisationen hinsichtlich möglicher Gefährdungsquellen zu sensibilisieren. Außerdem wolle man darauf hinwirken, dass personenbezogene Daten gerade dort wirksam und angemessen geschützt werden.
Achtung, sollten Sie von den Prüfungen betroffen sein: Das BayLDA plant im Nachgang zu den schriftlichen Prüfungen ausgewählte Unternehmen zum Teil auch vor Ort zu besuchen und die gemachten Angaben auf Richtigkeit zu kontrollieren.

Derzeit werden folgende Bereiche bzw. Unternehmen geprüft:

Sicherer Betrieb von Online-Shops (Cybersicherheit)
Zwanzig bayerische Online-Shops, zufällig aus allen Branchen zusammengestellt, wurden hinsichtlich der Verwendung von veralteten und unsicheren eCommerce-Systemen geprüft. Die Unternehmen haben ein detailliertes Prüfschreiben erhalten und sind aufgerufen, festgestellte Defizite zu beheben.

Verschlüsselungstrojaner in Arztpraxen (Cybersicherheit)
Verschlüsselungstrojaner („Ransomware“) sind auch in Bayern weiterhin aktiv: […] Das BayLDA hat sich deshalb entschieden, Ärzte zum Umgang und Prävention von Ransomware-Attacken zu kontrollieren.

Rechenschaftspflicht bei Großkonzernen
Das BayLDA hat drei Großkonzernen jeweils 50 Fragen gestellt und prüft damit, ob in der jeweiligen Organisation eine datenschutzkonforme Verarbeitung personenbezogener Daten stattfindet und mit Betroffenenrechten sowie Datenschutzverletzungen richtig umgegangen wird.

Erfüllung der Informationspflichten in Bewerbungsverfahren
Mit dieser Erfahrung entschied sich das BayLDA deshalb nun im Oktober 2018, erneut bei zufällig ausgewählten Verantwortlichen die Verarbeitung personenbezogener Daten in Bewerbungsverfahren zu untersuchen. […] Hierzu werden derzeit 15 Verantwortliche in Bayern, ausschließlich größere Betriebe und Vereine, geprüft.

Umsetzung der DSGVO bei kleinen und mittelständischen Unternehmen (KMUs)
In einer Prüfung zur allgemeinen Datenschutzorganisation sind 20 Fragen zu beantworten und zum Teil Unterlagen vorzulegen. […] Die 15 geprüften Unternehmen (mit jeweils über 100 Mitarbeitern) wurde nach folgenden Kriterien ausgesucht: Die Hälfte ist beim BayLDA bereits durch Beschwerden aufgefallen. Ansonsten wurden Verantwortliche aus unterschiedlichen Branchen aus ganz Bayern berücksichtigt.

Achtung: Das BayLDA hat mittlerweile den verschickten Fragebogen online gestellt. Die Lektüre der dort gestellten Fragen ist dringend angeraten, da Sie so als Verantwortlicher erfahren, worauf die Aufsichtsbehörden Wert legen.

Auf seiner Website kündigt das BayLDA bereits weitere Prüfungen an:

  • Noch im November 2018 sollen Datenschutzverletzungen bei (Unter-)Auftragsverarbeitern geprüft werden. Das BayLDA fragt sich insbesondere, warum von (internationalen) Dienstleistern verhältnismäßig wenige Datenpannen gemeldet werden, während die Meldungen von Verantwortlichen gemäß Art. 33 und 34 DSGVO deutlich zugenommen hätten. Geprüft werden voraussichtlich 15 größere und datengetriebene Unternehmen mit (vermutlich) vielen Dienstleistern im internationalen Umfeld. Bei sieben dieser Unternehmen könnten auch Vor-Ort-Kontrollen stattfinden.
  • Im Dezember 2018 geht es dem BayLDA um das DSGVO-konforme und fristgerechte Löschen personenbezogener Daten in ERP-Systemen. Welche Unternehmen bzw. welche Kategorien von Unternehmen geprüft werden, ist aktuell noch offen.

Via: www.activemind.de; BayLDA

Gerne stehe ich Ihnen für Rückfragen oder weitere Detaillierungen persönlich zur Verfügung. Wir helfen heute bereits Unternehmen, Praxen oder betroffenen Einzelpersonen, nehmen uns die notwendige Zeit und geben Sicherheit.

Georg Appel (appel@app-consulting.gmbh)