Datenschutzprüfungen durch Aufsichtsbehörden – Stabstelle im BayLDA
Datenschutzprüfungen durch Aufsichtsbehörden könnten durch die neu geschaffene Stabstelle des BayLDA (Bayerische Aufsichtsbehörde für Datenschutz) Fahrt aufnehmen. Die Stabsstelle startet mit Datenschutzprüfung gegen die Welle von Ransomwaren–Attacken. Natürlich liegt der Fokus der Datenschutzprüfungen auf bayerischen Unternehmen, und deren Präventionsmaßnahmen. Den Auftakt macht die Prüfstelle mit einer Prüfung der Maßnahmen zur Absicherung von Ransomware-Angriffen.
Die Stabstelle führt ab und seit dem 30.11.2021 in kurzen schriftlichen und automatisierten Verfahren Prüfungen durch. Die Aufsichtsbehörde weitet damit die datenschutzrechtlichen Kontrollen in Bayern aus.
Eine Stabstelle in einer Aufsichtsbehörde schafft man nicht mal einfach so, sondern es ist eine Ausrichtung der gesamten Behörde aus der man deren Funktion ableiten kann.
Die Behörden werden aktiver. Man kann annehmen, dass nach der Schaffung der Stabstelle für Prüfungen im BayLDA mehr anlasslose und anlassbezogene, aber vor allem fokussierte und themenbezogene Datenschutzprüfungen stattfinden werden.
Abgesehen vom Druck der mögicherweise damit auf die bayerischen Unternehmen erhöht werden soll, sehen wir in diesen Prüfungen auch eine Chance für Verantwortliche die eigenen technischen und organisatorischen Maßnahmen zu überprüfen, und an die rasant steigende Gefahrenlage von Ransomware-Attacken anzupassen.
Siehe dazu auch den Bericht über Die Lage der IT-Sicherheit in Deutschland 2021.
Zielgruppe der ersten BayLDA Datenschutzprüfung
Das BayLDA gibt für die anstehenden und laufenden Prüfungen konkrete Zielgruppen an. So werden nicht-öffentliche Stellen, wie Arztpraxen, Schulen, kleine und mittlere Unternehmen, sowie kleinere Krankenhäuser in die Prüfungen einbezogen.
Bei den genannten Zielgruppen werden u.a. besondere personenbezogene Daten, und Daten Schutzbedürftiger (Minderjähriger) verarbeitet, bei denen eine Verletzung des Schutzbedarfs folglich auch höhere Risiken für Betroffene bedeuten würden.
In dem Zusammenhang beachten Krankenhäuser und Arztpraxen das ab dem 01.01.2022 geltende Patientendatenschutzgesetz (PDSG) mit Anforderungen an ein ISMS.
Datenschutzprüfungen durch Aufsichtsbehörden sind Präventionsprüfungen
Bei den angekündigten Datenschutzprüfungen handelt es sich um sogenannte Präventionsprüfungen. Die Prüfung erfolgt dabei als Onlineprüfung.
Durch die aktuelle Gefährdungslage im Internet liegt der Fokus der ersten laufenden Prüfung im Bereich der Ransomware-Präventionsprüfung.
Nicht-öffentliche Stellen die ins Visier der Prüfung gelangen, erhalten vom BayLDA ein Anschreiben, einen Prüfbogen, eine Handreichung und ein Informationsblatt zur Prüfung.
Diese Dokumente stellt das BayLDA übrigens allgemein zur Verfügung:
Dabei behält sich das BayLDA vor, die angegebenen Maßnahmen im Einzelfall auch vor Ort zu prüfen. Neben dem Fragebogen können durch die bayerische Aufsichtsbehörde auch zusätzliche Unterlagen angefordert werden.
Prüfungsgrundlage der Datenschutzprüfungen durch Aufsichtsbehörden
Prüfungsgrundlage bilden hier die Schutzmaßnahmen zur Sicherheit der Verarbeitung nach Art. 32 DSGVO. Also Ihre getroffenen technischen und organisatorischen Maßnahmen um personenbezogene Daten zu schützen.
Der Prüfbogen beinhaltet ganz konkrete Fragen zu Ihrer Systemlandschaft, also zum Beispiel, ob ein aktueller und vollständiger Überblick über die IT-Systeme, sowie deren Komponenten besteht. Weitere Fragen betreffen das Patch Management, das Vorliegen eines Backup-Konzeptes, die Überprüfung des Datenverkehrs und Maßnahmen zu Awareness (Sensibilisierung / Schulung) und Berechtigungen.
Müssten Sie die gestellten Fragen im Fragebogen mit Nein beantworten, müssten Sie Ihre Antworten immer auch begründen.
Konkreter Fokus der Datenschutzprüfung
Um den Fragebogen des BayLDA beantworten zu können, benötigten Sie gute Kenntnisse über Ihre IT.
Systemlandschaft
Ein Überblick aller IT-Systeme samt der eingesetzten Komponenten, das bedeutet eine IT-Inventarisierung, ist für die Beantwortung des Fragebogens sozusagen Voraussetzung.
Patch Management
Sie benötigen technische und organisatorische Regelungen, wie Sie Updates und Patches handhaben, und wie Sie mit Sicherheitslücken umgehen, bzw. wie Sie diese bemerken.
Dazu kommt die regelmäßige Überprüfung / Kontrolle.
Backup Konzept
Sie benötigen ein Backup Konzept, bzw. Regelungen über die Sicherung von Daten, z.B. nach der 3-2-1 Regel (3 Datenkopien, 2 verschiedene Speichermedien, 1 davon an einem externen Standort).
Überprüfung des Datenverkehrs
Awareness und Berechtigungen
Regelmäßige Sensibilisierung und Schulung von Mitarbeitern zu aktuellen Bedrohungslagen und Angriffswege wie Phishing und Social-Engineering-Techniken mittels gefälschter E- Mails.
Immer wichtig: sichere und starke Passwörter, bestenfalls mit Zwei-Faktor-Authentifizierung.
Vorbereitung auf Datenschutzprüfungen durch Aufsichtsbehörden
Sehen Sie sich die Checklisten des BayLDA zum Patch-Management oder zur Cyber-Sicherheit an.
Mit den Checklisten können Sie einen Selbst-Check in Ihrem Unternehmen durchführen. Sie erfahren, welche Maßnahmen gegen Ransomware helfen.
Unternehmen bzw. nicht-öffentliche Stellen stellen so schnell fest, wo sie noch Schwachstellen und Lücken in ihren technischen und organisatorische Maßnahmen haben, oder auf welche Themen sie mehr Fokus legen sollten.
Spätestens jetzt sollten auch kleine und mittlere Unternehmen (KMU) den Datenschutz und die Informationssicherheit beachten.
Datenschutzprüfungen finden genauso wie Angriffe statt – Angriffe nehmen zu.
Die gute Nachricht zum Schluss
Auf eine Datenschutzüberprüfung durch Aufsichtsbehörden können Sie sich genauso gut vorbereiten wie auf den Ernstfall eines Ransomware-Angriffs.
Anhand des Prüffragebogens des BayLDA wissen wir nun genau, auf welche Punkte die Aufsichtsbehörde wert legt. Vor allem ist das im Falle einer meldepflichtigen Datenpanne interessant, denn hätten Sie die im Fragebogen genannten Maßnahmen nicht, teilweise, oder nur unzureichend umgesetzt, müssten Sie sich dafür rechtfertigen, oder sähen sich sogar einem Bußgeldverfahren wegen „nicht ausreichenden“, bzw. „nicht geeigneten“ Maßnahmen ausgesetzt.
- Mit einem Audit decken wir Schwachstellen auf.
- Wir empfehlen Ihnen zusätzliche Maßnahmen zur Absicherung.
- Ihre Dokumentation bringen wir samt Organisation auf den notwendigen Stand.
Eine solche Absicherung wird Ihnen bei der Abwehr von Fragebögen genauso helfen wie die Abwehr von Ransomware-Angriffen.
Kontaktieren Sie uns jetzt…
Update 07.02.2022
Für die Datenschutzkontrollen und Datenschutzprüfungen bei bayerischen Unternehmen, sucht das BayLDA Unterstützung.
Eine mögliche Schlussfolgerung hieraus wäre, dass es bislang noch zu wenig Kapazitäten bei der bayerischen Aufsichtsbehörde gab bzw. dass diese nun weiter aufgestockt werden sollen.
Beim genaueren Hinsehen, wird auch klar, dass der Schwerpunkt auf die automatisierte Kontrolle gerichtet ist.
Update 04.10.2022
Michael Will, Präsident des BayLDA gab in einem Onlinemeeting Ende Sptember 2022 einen Ausblick zu den geplanten Überprüfungen durch die Prüfstabstelle seiner Aufsichtsbehörde für das Jahr 2023.
Insgesamt war die Rede von fünf Themen, die wohl mittels dem bekannten und beschriebenen automatisierten Prüfverfahren abgefragt werden sollen.
Die Prüfpläne des BayLDA werden auch nächstes automatisiert stattfinden und könnten allein schon wegen der Themen in die Breite gehen.
- TTDSG, Consent Banner und Dark Patterns
- Archivierung / Backup von E-Mail
- Drittlandstransfers auch andere Länder als die USA
- Anonymisierungstools
- Schwellenwertanalysen zur Datenschutz-Folgenabschätzung
Außerdem planen die Europäischen Aufsichtsbehörden für Datenschutz die Prüfung der Situation von Datenschutzbeauftragten in Unternehmen.
Mit dem Laden des Videos akzeptieren Sie die Datenverarbeitung durch Vimeo.
Datenschutzhinweise von Vimeo ansehen
