auftragsverarbeitung kosten meldung datenschutzbeauftragter prüfung baylda

Ablauf der Prüfung durch eine Datenschutzbehörde

Nach einer eher etwas ruhigeren Anfangsphase nach Wirksamwerden der DSGVO am 25.05.2018 beginnen die Aufsichtsbehörden nun verstärkt, Ihrem Kontroll- und Prüfauftrag nachzukommen. Insbesondere die bayerische Aufsichtsbehörde, das BayLDA, geht hierbei sehr transparent vor und erläutert seine durchgeführten und geplanten Maßnahmen.

In seiner Pressemitteilung vom 07.11.2018 informierte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) die Öffentlichkeit darüber, dass neue flächendeckende Datenschutzkontrollen in Bayern angestoßen wurden. Worauf hat man sich als Verantwortlicher einzustellen? Welchen Prüfmaßstab legt die Aufsichtsbehörde an? Dies wollen wir uns am aktuellen Beispiel aus Bayern genauer anschauen.

Wer wird schwerpunktmäßig überprüft?

Bei ihrer Prüfung konzentriert sich die Behörde nach eigenen Angaben auf folgende Gruppen der Verantwortlichen:

  • Betreiber von Onlineshops,
  • Arztpraxen,
  • kleine und mittlere Unternehmen (KMUs) sowie Großunternehmen
  • Großkonzerne.
  • Was steht jeweils im Mittelpunkt der Prüfung und wie werden diese durchgeführt?

Prüfung der Online-Shops:

Im Bereich der Online-Shops wurden rund zwanzig Betriebe zufällig aus allen Branchen ausgewählt und im Hinblick auf den Einsatz unsicherer eCommerce-Systeme überprüft. Detailliert wurden Verantwortliche kontrolliert, die bei ihren Online-Shops die Software Magento im Einsatz haben und dabei keine Sicherheitspatches installiert haben, obwohl diese verfügbar waren. Welchen Inhalt das Anschreiben der Behörde genau hatte, kann hier (als Muster) eingesehen werden. Auch die Anlagen zum Anschreiben (Informationsblatt, Antwortbogen, Ergebnisblatt) sind als Muster auf der Seite des BayLDA ebenfalls abrufbar. Ob Vor-Ort-Kontrollen geplant sind, ist noch offen.

Prüfung der Arztpraxen:

Bei den Arztpraxen war der Anlass der Prüfung Eingang von zahlreichen Meldungen über den „Befall“ der IT-Infrastruktur durch den sogenannten „Verschlüsselungstrojaner“ (Ransomware bzw. Kryptotrojaner), bei dem die Daten verschlüsselt wurden und Lösegeld für die Entschlüsselung verlangt wurde. Dieses Problem ließe sich jedoch leicht durch ein Backupsystem lösen, was jedoch vielfach nicht implementiert war. So wurde insgesamt 8 Arztpraxen ein umfangreicher Fragenkatalog nebst einem Informationsblatt mit Erläuterungen zu den einzelnen Fragen vorgelegt, bei dem der Status Quo bezüglich der Datensicherung und das „Backupverhalten“ der Ärzte abgefragt wurde. Ob die Arztpraxen vor Ort kontrolliert werden, bleibt noch offen.

Prüfung der kleinen und mittelständischen Unternehmen sowie der Großunternehmen:

Insgesamt 15 kleine (ab 100 Mitarbeiter) und mittelständische Unternehmen (ab 500 Mitarbeiter) wurden sowohl zufällig als auch anlassbezogen ausgewählt. Bei anlassbezogener Auswahl waren die eingegangenen Beschwerden der Auslöser für die anschließende Prüfung. Den geprüften Betrieben wurde ein Fragenkatalog aus 20 Fragen vorgelegt (hier abrufbar). Es ging dabei um die wesentlichen Pflichten, die die DSGVO den Verantwortlichen auferlegt hat. Nicht zuletzt ging es um die Rolle des Datenschutzbeauftragten im Betrieb, das Vorhandensein eines Datenschutzkonzepts, die getroffenen technischen und organisatorischen Maßnahmen sowie die Durchführung von Datenschutzaudits. Geplant sind auch Vor-Ort-Kontrollen.

Zudem wurden 15 Großunternehmen im Rahmen einer schriftlichen Anfrage kontrolliert. Bei diesen Unternehmen ging es explizit um den Umgang mit Bewerberdaten und insbesondere um die Erfüllung der Informationspflichten nach Art. 13 DSGVO im Rahmen des Bewerbungsverfahrens. Ob Vor-Ort-Kontrollen stattfinden werden, ist hier noch offen.

Prüfung der Großkonzerne:

Insgesamt 3 Großkonzerne werden im Rahmen einer Vor-Ort-Kontrolle geprüft. Vorab erhielten die Verantwortlichen einen Fragebogen, in dem anhand von 50 Fragen das aktuelle Datenschutzniveau ermittelt werden sollte. Im Wesentlichen ging es um die Aufbauorganisation sowie die Ablauforganisation mit drei Kernprozessen: den Umgang mit Betroffenenrechten, den Umgang mit Datenschutzverletzungen sowie die Sicherstellung der datenschutzkonformen Verarbeitung.

Was erwartet uns demnächst?

Die Behörde gibt in Ihrer Pressemitteilung (siehe oben) und auf Ihrer Internetseite einen Ausblick auf die anstehenden Prüfungen.

Im Visier der Behörde stehen international tätige Unternehmen, bei denen es nach Auffassung des BayLDA erstaunlich wenige Meldungen über Datenschutzverletzungen gibt, die auf eine fehlerhafte Verarbeitung auf Seiten der Auftragsverarbeiter zurückzuführen wären. Hierbei will die Behörde zum einerseits prüfen, ob die Auftragsverarbeiter die sogenannten „Datenpannen“ an die Verantwortlichen melden. Zum anderen soll geprüft werden, ob bei der Auswahl von Dienstleistern die Datenschutzvorgaben eingehalten werden. Geprüft werden 15 Großunternehmen, wobei bei insgesamt sieben dieser Unternehmen Vor-Ort-Kontrollen geplant sind. Ob vorab Fragebögen verschickt und welchen Inhalt sie haben werden, ist bisher unbekannt.

Darüber hinaus sollen Unternehmen, die als ERP-System die Software von SAP einsetzen, geprüft werden. Insbesondere die Löschroutinen und das Vorhandensein eines Löschkonzepts bilden den Schwerpunkt dieser Prüfung. Die Anzahl der zu prüfenden Unternehmen sowie die Auswahlkriterien sind noch offen.

Motto der Behörden: Transparenz und Kooperation

Es ist zu begrüßen, dass die Behörde ihre Prüfungen in einer derart transparenten Form durchführt. Vielen Verantwortlichen, die die Umsetzung der DSGVO ernst genommen haben, können ihre Ängste genommen werden, die durch teilweise geradezu hysterische Berichterstattung in den Medien regelrecht geschürt wurden. Die Praxis der Behörde lässt erkennen, dass es bei den aktuell laufenden und anstehenden Prüfungen nicht darum geht, ein möglichst hohes Bußgeld zu verhängen, sondern darum, auf Problempunkte hinzuweisen und den tatsächlichen Prüfmaßstab aufzuzeigen. Als eine Absolution kann das gezeigte Wohlwollen der Behörde freilich nicht aufgefasst werden. Spätestens bei schwerwiegenden Verstößen wird ein Bußgeld verhängt werden. Doch ist das Ziel der DSGVO nicht, die Verantwortlichen (gerade die KMUs) durch hohe Bußgelder in die Insolvenz zu treiben, sondern ein hohes Datenschutzniveau in der EU herzustellen. Dieses Ziel kann nur in einer kooperativen Zusammenarbeit der Verantwortlichen und der Aufsichtsbehörden gemeinsam erreicht werden.

Sie möchten wissen, ob Ihr Unternehmen gut auf eine behördliche Kontrolle vorbereitet ist? Kontaktieren Sie uns, wir helfen Ihnen gerne!


Diesen Beitrag teilen