„Überwachung nach § 38 Bundesdatenschutzgesetz – Fokussierte Datenschutzprüfung“ durch das bayerische Landesamt für Datenschutzaufsicht

Wie wir bereits mehrfach berichteten, überprüft die bayerische Aufsichtsbehörde bereits seit einiger Zeit Unternehmen anlasslos auf die Einhaltung des Datenschutzes. Während dies aber bisher vorwiegend auf Papierbasis erfolgte, kommen nun offenbar auch anlasslose – und recht kurzfristig angekündigte – Prüfungen bei und in Unternehmen vor Ort hinzu.

Datenschutz-Prüfung

Wir hatten über die neue Praxis der Datenschutzaufsichtsbehörde berichtet: nunmehr schon im zweiten Jahr werden zufällig ausgewählte Unternehmen auf die Beachtung des Datenschutzes überprüft. Wurde aber bislang erst im „Fragebogenverfahren“ geprüft und ein Besuch nur in Aussicht gestellt, scheint die Aufsichtsbehörde nunmehr auch dazu überzugehen, Unternehmen sofort vor Ort zu prüfen – ohne vorher einen Fragebogen zu schicken.

Bei der vor Ort Prüfung erwartet die Aufsichtsbehörde die Anwesenheit

  • eines Vertreters der Unternehmensleitung,
  • des betrieblichen Datenschutzbeauftragten und
  • der für die IT-Sicherheit zuständigen Person.

Zur Vorbereitung der Prüfung im Unternehmen verlangt die Behörde bereits im Vorfeld die Überlassung von Unterlagen. Konkret werden folgende Informationen gewünscht:

  1. IT-Sicherheitsleitlinien, IT-Sicherheitsrichtlinie
  2. Darlegung der Netzwerktopologie (z.B. Internet, Intranet, Arbeitsplatzrechner, Firewalls, Virenscanner, IDS/IPS, DMZ, Subnetze, Mail-, Print-, Web-, Fileserver, VPN, WLAN)
  3. Informationen zum IT-Sicherheitsverantwortlichen (insbesondere Qualifikation und organisatorische Einordnung)
  4. Informationen zur Schulung der Mitarbeiter hinsichtlich Datenschutz und IT-Sicherheit
  5. Detaillierte Darlegung der Schutzmaßnahmen gegen Hacking
    • Firewall: Typ, Modell, Konfiguration (hier insbesondere: durch wen und auf Basis welcher Qualifikation?)
    • Virenscanner: Einsatzorte, Typ, Updates
    • Software: Schwachstellen und Penetrationstests
  6. Berechtigungskonzept
  7. Patch-Management ( insbesondere: Server, Arbeitsplatzrechner, Anwendungssoftware, Browser, Browser – Erweiterungen)
  8. Einsatz von Verschlüsselung (insbesondere: Web, Mail, Cloud, WLAN)

Die Frist zur Überlassung der genannten Dokumente beträgt etwa 3 Wochen. Die Prüfung vor Ort findet etwa nach 6 Wochen statt.

Es zeigt sich erneut, dass die Kontrolldichte im Datenschutz weiter zunimmt. Um hier entsprechenden Prüfungen gelassen entgegensehen zu können, ist unumgänglich, sich auf die Prüfungen angemessen vorzubereiten. Die gewissenhafte Erfüllung der gesetzlichen Anforderungen durch Unternehmen mit deutlichem Rückhalt durch das Management ist hier für unverzichtbar.

Benötigen Sie Unterstützung bei der Umsetzung datenschutzrechtlicher Anforderungen? Aufgrund der bei activeMind vorhandenen technischen Kompetenz sind wir in der Lage, Sie in den oben genannten Punkten nicht nur organisatorisch sondern auch technisch / praktisch zu unterstützen: www.activemind.de

Historie der Datenschutz-Prüfungen durch das BayLDA

    Artikelbild: Symbolbild (c) weinstock / Pixabay

    0 Kommentare

    Ihr Kommentar

    Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
    Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.