Datenschutzprüfungen bei bayerischen Unternehmen und Ärzten nach der DS-GVO

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 07.11.2018

Knapp ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) seine Prüfaktivitäten wieder verstärkt aufgenommen und neue flächendeckende Datenschutzkontrollen in Bayern angestoßen. Im Fokus der aktuellen Prüfungen steht der sichere Betrieb von Online-Shops, der Schutz vor Verschlüsselungstrojanern in Arztpraxen, die Erfüllung der Rechenschaftspflicht bei Großkonzernen und mittelständischen Unternehmen sowie die Umsetzung der Informationspflichten in Bewerbungsverfahren.

Das BayLDA ist als Aufsichtsbehörde für die Kontrolle der Einhaltung der datenschutzrechtlichen Vorgaben im nicht-öffentlichen Bereich in Bayern zuständig. Das bedeutet, dass durch gezielte Prüfungen regelmäßig festgestellt werden muss, inwieweit den gesetzlichen Vorgaben bei Unternehmen, Vereinen und Verbänden sowie freiberuflich Tätigen – nach DS-GVO „Verantwortliche“ genannt – tatsächlich Rechnung getragen wird. In den vergangen Jahren hatte das BayLDA bereits zahlreiche Datenschutzprüfungen durchgeführt. Mit persönlichen Vor-Ort-Kontrollen einzelner Betriebe, automatisierten Online-Audits bei tausenden Unternehmen sowie schriftlichen Großprüfungen mit mehrseitigen Fragebögen wurde bislang ein breites Prüfspektrum abgedeckt.

Durch den Übergang zur DS-GVO hat das BayLDA dieses Jahr schwerpunktmäßig über die Neuerungen der Verordnung informiert, damit Unklarheiten möglichst rasch beseitigt werden und Verantwortliche erfahren, was sich im Vergleich zum bisherigen Datenschutzrecht für sie geändert hat. Mit den nun gestarteten DS-GVO-Prüfungen müssen die Verantwortlichen dem BayLDA nachweisen, dass sie die neuen Vorgaben kennen und erfüllen. Ziel ist es dabei allerdings nicht, kleine Betriebe mit Datenschutzkontrollen zu überfordern, sondern größere und risikobehaftete Organisationen hinsichtlich möglicher Gefährdungsquellen zu sensibilisieren und darauf hinzuwirken, dass personenbezogene Daten gerade dort wirksam und angemessen geschützt werden. Im Nachgang zu den schriftlichen Prüfungen werden ausgewählte Unternehmen zum Teil auch vor Ort besucht und die gemachten Angaben auf Richtigkeit kontrolliert. Nachfolgend werden die Prüfungen aufgelistet, die vor kurzem gestartet wurden.

Prüfung 1: Sicherer Betrieb von Online-Shops (Cybersicherheit)
Prüfung 2: Verschlüsselungstrojaner in Arztpraxen (Cybersicherheit)
Prüfung 3: Rechenschaftspflicht bei Großkonzernen
Prüfung 4: Erfüllung der Informationspflichten in Bewerbungsverfahren
Prüfung 5: Umsetzung der DS-GVO bei kleinen und mittelständischen Unternehmen (KMUs)

Eine kurze Beschreibung der einzelnen Prüfungen kann unter der ausführlichen Pressemeldung eingesehen werden: www.lda.bayern.de/media/pm2018_17_de.pdf.

Ausblick auf anstehenden Kontrollen: Sub-Dienstleister-Einsatz und Löschen bei SAP-Systemen

Das BayLDA wird in den nächsten Wochen weitere Prüfungen beginnen. So stehen bereits zwei neue Kontrollen in den Startlöchern: Zum einen soll bei großen, international agierenden Unternehmen geprüft werden, ob diese bei der Auswahl von Dienstleistern die Datenschutzvorgaben einhalten und insbesondere auch bei Datenschutzverletzungen bestehende Meldeprozesse etabliert haben. Zum anderen wird das Thema „Löschen von Daten“, schwerpunktmäßig bei SAP-Systemen, den Rahmen einer weiteren Prüfung bilden.

Thomas Kranig, Präsident des BayLDA, äußert sich zu den neuen Datenschutzprüfungen wie folgt: „Wir haben dieses Jahr einen sehr hohen Aufwand betrieben, um Verantwortliche aus allen Branchen – vom kleinen Handwerkerbetrieb, dem Verein, dem mittelständischen Betrieb bis hin zum milliardenschweren DAX-Konzern – umfassend zu den Neuerungen der DS-GVO zu beraten. Die Fehlinformationen, die leider immer noch kursieren, verunsichern viele bayerische Unternehmen. Wir erhalten noch regelmäßig absurde Anfragen und individuelle Interpretationen zum neuen Datenschutzrecht, die weit weg von dem sind, was wirklich gemacht werden muss. Unser Ziel ist es daher, nun durch aktive Prüfungen aufzuzeigen, was tatsächlich Prüfmaßstab ist und von den Verantwortlichen erwartet wird. Damit der Verwaltungsaufwand für unsere Behörde in Zeiten, in denen wir nach wie vor mit unzähligen Beschwerden und Meldungen über Datenschutzverletzungen überschüttet werden, überschaubar bleibt, beziehen wir im Rahmen der genannten Prüfungen derzeit nur relativ wenige Verantwortliche ein, veröffentlichen aber gleichzeitig die Prüfschreiben und dazugehörigen Informationsblätter, damit auch alle anderen Unternehmen nachvollziehen können, was wir tatsächlich abfragen und dann selbst prüfen können, ob sie die Anforderungen erfüllen.“

Das BayLDA stellt alle Informationen zu den genannten Datenschutzprüfungen mit Musterschreiben und Infoblättern auf seiner Website zur Verfügung: www.lda.bayern.de/de/kontrollen.html.

Die Pressemitteilungen des Bayerischen Landesamts für Datenschutzaufsicht können hier abgerufen werden.