Aufsichtsbehörde prüft Unternehmen vor Ort

„Überwachung nach § 38 Bundesdatenschutzgesetz – Fokussierte Datenschutzprüfung“ durch das bayerische Landesamt für Datenschutzaufsicht

Wie wir bereits mehrfach berichteten, überprüft die bayerische Aufsichtsbehörde bereits seit einiger Zeit Unternehmen anlasslos auf die Einhaltung des Datenschutzes. Während dies aber bisher vorwiegend auf Papierbasis erfolgte, kommen nun offenbar auch anlasslose – und recht kurzfristig angekündigte – Prüfungen bei und in Unternehmen vor Ort hinzu.

Wir hatten über die neue Praxis der Datenschutzaufsichtsbehörde berichtet: nunmehr schon im zweiten Jahr werden zufällig ausgewählte Unternehmen auf die Beachtung des Datenschutzes überprüft. Wurde aber bislang erst im „Fragebogenverfahren“ geprüft und ein Besuch nur in Aussicht gestellt, scheint die Aufsichtsbehörde nunmehr auch dazu überzugehen, Unternehmen sofort vor Ort zu prüfen – ohne vorher einen Fragebogen zu schicken.

Bei der vor Ort Prüfung erwartet die Aufsichtsbehörde die Anwesenheit

  • eines Vertreters der Unternehmensleitung,
  • des betrieblichen Datenschutzbeauftragten und
  • der für die IT-Sicherheit zuständigen Person.

Zur Vorbereitung der Prüfung im Unternehmen verlangt die Behörde bereits im Vorfeld die Überlassung von Unterlagen. Konkret werden folgende Informationen gewünscht:

  1. IT-Sicherheitsleitlinien, IT-Sicherheitsrichtlinie
  2. Darlegung der Netzwerktopologie (z.B. Internet, Intranet, Arbeitsplatzrechner, Firewalls, Virenscanner, IDS/IPS, DMZ, Subnetze, Mail-, Print-, Web-, Fileserver, VPN, WLAN)
  3. Informationen zum IT-Sicherheitsverantwortlichen (insbesondere Qualifikation und organisatorische Einordnung)
  4. Informationen zur Schulung der Mitarbeiter hinsichtlich Datenschutz und IT-Sicherheit
  5. Detaillierte Darlegung der Schutzmaßnahmen gegen Hacking
    • Firewall: Typ, Modell, Konfiguration (hier insbesondere: durch wen und auf Basis welcher Qualifikation?)
    • Virenscanner: Einsatzorte, Typ, Updates
    • Software: Schwachstellen und Penetrationstests
  6. Berechtigungskonzept
  7. Patch-Management ( insbesondere: Server, Arbeitsplatzrechner, Anwendungssoftware, Browser, Browser – Erweiterungen)
  8. Einsatz von Verschlüsselung (insbesondere: Web, Mail, Cloud, WLAN)

Die Frist zur Überlassung der genannten Dokumente beträgt etwa 3 Wochen. Die Prüfung vor Ort findet etwa nach 6 Wochen statt.

Es zeigt sich erneut, dass die Kontrolldichte im Datenschutz weiter zunimmt. Um hier entsprechenden Prüfungen gelassen entgegensehen zu können, ist unumgänglich, sich auf die Prüfungen angemessen vorzubereiten. Die gewissenhafte Erfüllung der gesetzlichen Anforderungen durch Unternehmen mit deutlichem Rückhalt durch das Management ist hier für unverzichtbar.

Benötigen Sie Unterstützung bei der Umsetzung datenschutzrechtlicher Anforderungen? Aufgrund der bei activeMind vorhandenen technischen Kompetenz sind wir in der Lage, Sie in den oben genannten Punkten nicht nur organisatorisch sondern auch technisch / praktisch zu unterstützen: www.activemind.de

[av_hr class=’custom‘ height=’50‘ shadow=’no-shadow‘ position=’center‘ custom_border=’av-border-thin‘ custom_width=’100%‘ custom_border_color=“ custom_margin_top=’10px‘ custom_margin_bottom=’10px‘ icon_select=’no‘ custom_icon_color=“ icon=“ font=’entypo-fontello‘ av_uid=’av-420p9e‘]

Historie der Datenschutz-Prüfungen durch das BayLDA

[catlist tags=“bayerisches-landesamt-fuer-datenschutzaufsicht“ orderby=date order=desc date=yes]

[av_hr class=’custom‘ height=’50‘ shadow=’no-shadow‘ position=’center‘ custom_border=’av-border-thin‘ custom_width=’100%‘ custom_border_color=“ custom_margin_top=’1px‘ custom_margin_bottom=’10px‘ icon_select=’no‘ custom_icon_color=“ icon=“ font=’entypo-fontello‘ av_uid=’av-2qoydu‘]

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Leave a Reply

Your email address will not be published. * Required fields.

Nettiquette: We do not tolerate grossly unobjective contributions or advertising on our own behalf and will not publish corresponding entries but delete them.