DSGVO - Kennen Sie Ihre Prüfungsrisiken?

[Blog] DSGVO - Kennen Sie Ihre Prüfungsrisiken?

Das BayLDA zur Prüfungspraxis

Nach dem 25. Mai 2018 wurde es zusehends ruhiger um die DSGVO. Und es sah fast so aus, als sollten die Skeptiker Recht behalten: Abmahnungen und Kontrollen fanden bisher kaum statt. 

Was viele jedoch bisweilen nicht berücksichtigen: Auch die Aufsichtsbehörden müssen sich auf eine teilweise grundlegend neue Rechtslage und Prüfungspraxis einstellen. Und so wie es aussieht, haben sie das jetzt auch getan. Beispielhaft sei auf das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) verwiesen, das nun Einblicke in laufende Prüfungen gibt.

Die konkreten Prüfungsanlässe

Dazu kann folgendes festgehalten werden:

1. Die Prüfungen erfolgen auch ohne konkrete Beschwerde. In den laufenden Querschnittsprüfungen können Stichproben nach unterschiedlichen Kriterien gebildet werden. So kann es auch zur anlasslosen Prüfung kommen, z.B. weil ein Unternehmen ein bestimmtes, datengetriebenes Geschäftsmodell hat.

2. Auftragsverarbeiter im Fokus. Prüfungen können auch erfolgen, weil vermutet wird, dass Unternehmen mit bestimmten internationalen Auftragsverarbeitern zusammenarbeiten.

3. Cyber-Security bei konkreten Systemen. Die Aufsichtsbehörden fokussieren sich im Zuge der laufenden Prüfungen zunehmend auf bestimmte IT-Systeme. Aktuell wird eine Stichprobe von Anwendern je einer eCommerce-Lösung (Magento) und eines ERP-Systems (SAP) geprüft. Es werden sehr konkrete Fragestellungen zu Sicherheitspatches und Löschkonzepten durchlaufen.

4. Umgang mit besonders schutzwürdigen Daten. Auch Arztpraxen werden stichprobenartig geprüft, im konkreten Fall wieder im Bereich der Cyber-Security. Speziell die Abwehr von Erpressungstrojanern, die Patientendaten ungewollt verschlüsseln, hat eine große Bedeutung für die Verfügbarkeit dieser Daten.

Fazit und Handlungsempfehlung

Das BayLDA gibt sehr gute Einblicke in die Prüfungspraxis. Unternehmen können sich an den veröffentlichten Unterlagen orientieren und Ihre eigenen Datenschutz- und Cyber-Security-Maßnahmen daran ausrichten. Die Quelle verlinke ich hier gerne: Datenschutz-Kontrollen

Anhand des Detailgrades der Kontrollen wird überdeutlich, dass Risiken aus Prüfungen der Aufsichtsbehörden nur mit vorher durchdachten Datenschutz- und Cyber-Security-Konzepten identifizierbar und beherrschbar sind. Auch in kleineren Unternehmen!

Deshalb sollten Datenschutzprojekte immer mit der Regelung von Verantwortlichkeiten für Datenschutz und Informationssicherheit in einer Leitlinie starten. Und so einen kontinuierlichen Verbesserungsprozess initiieren.

Autor: Björn Jansen, IT-Architekt 

Das könnte Sie auch interessieren