Nach der ersten Panik kurz vor und nach dem Inkrafttreten der neuen Datenschutzgrundverordnung sind die meisten Unternehmen inzwischen wieder zur Tagesordnung übergegangen. Was bleibt, ist eine gewisse Unsicherheit, verbunden mit der Frage, ob und wann es tatsächlich Prüfungen durch die Datenschutzbehörde geben wird.

Die erste solche Behörde, die nunmehr per Pressemitteilung über ihre entsprechenden Prüfungen informierte, ist das Bayerische Landesamt für Datenschutzaufsicht. Die Behörde berichtete über die ersten drei Bereiche, die derzeit verstärkt im Fokus der Prüfungen stehen.

Vorab wird allerdings erklärt, dass es das Ziel dabei nicht sei, kleine Betriebe mit Datenschutzkontrollen zu überfordern, sondern vielmehr größere und/oder risikobehaftete Organisationen hinsichtlich möglicher Gefahrenpotenziale zu sensibilisieren und darauf hinzuwirken, dass die personenbezogenen Daten dort besonders wirksam und angemessen geschützt werden. Folgende Prüfungen wurden von dem Landesamt vor kurzem gestartet

1. Sicherer Betrieb von Online-Shops

Da man in diesem Bereich eine hohe Gefährdungslage erkennt, wird hier von der Behörde sehr stark auf präventive Maßnahmen gesetzt, damit personenbezogene Daten angemessen und wirksam geschützt werden. Zu diesem Zweck werden automatisierte Prüfungen durchgeführt, die Sicherheitslücken aufzeigen und die Betreiber von Webanwendungen sensibilisieren sollen. 

Trotz des vorbeugenden Charakters der Online-Prüfungen besteht jedoch durch die DSVO - neben der bereits existierenden gesetzlichen Verpflichtung zu einem hinreichenden Sicherheitsniveau bei personenbezogenen Daten - die Möglichkeit für Bußgelder gegen verantwortliche Websitebetreiber, die diesen Anforderungen nicht gerecht werden. 

Im Zuge dieser Maßnahme wurden 20 bayerische Online-Shops, die zufällig aus verschiedenen Branchen ausgewählt wurden, hinsichtlich der Verwendung von veralteten und unsicheren E-Commerce Systemen geprüft. Die Unternehmen haben ein detailliertes Prüfschreiben erhalten und sind aufgefordert worden, festgestellte Defizite zu beheben. 

Hintergrund dieser Maßnahme waren in den vergangenen Monaten immer wieder Hacking-Vorfälle, bei denen Angreifer Zahlungsdaten der Kunden ausgelesen und später für fremde Transaktionen missbrauchten. Hier sind die Websitebetreiber aufgefordert, sich verstärkt um regelmäßige Aktualisierungen und Sicherheitsupdates zu kümmern.

2. Verschlüsselungstrojaner in Arztpraxen

Die zweite Gruppe im Fokus der Datenschutzbehörde sind Ärzte, die in letzter Zeit häufig Opfer von Angriffen mit Verschlüsselungstrojanern wurden, bei denen der Zugriff auf die Daten gesperrt und anschließend Lösegeld gefordert wurden. Im Falle einer Infektion mit einer solchen Schadsoftware kann unter Umständen das gesamte Netzwerk einer Organisation betroffen sein. Gibt es keine Datensicherung, ist in vielen Fällen der Datenbestand rettungslos verloren oder kann jedenfalls nicht ohne große Mühe wiederhergestellt haben. Betroffen sind in diesen Fällen zumeist Ärzte oder kleinere Betriebe, die sich der Gefährdungslage nicht bewusst sind und nur über unzureichende Sicherheitsmaßnahmen verfügen. Hier prüft die Behörde den Umgang mit Sicherheitsmaßnahmen, vor allem das Backup-Verhalten, sodass Patientendaten vor der Gefahr solche Trojaner Angriffe geschützt werden.

3. Rechenschaftspflicht bei Großkonzernen 

Dritte Zielgruppe der Prüfer waren in diesem Fall Großkonzerne, die im Rahmen der DSGVO einer Rechenschaftspflicht unterliegen. Hier erfolgte durch die DSGVO eine Umkehr der Nachweislast, das heißt die Aufsichtsbehörde muss nicht selbst Verstöße beim Unternehmen feststellen, sondern das geprüfte Unternehmen muss selbst nachweisen, dass es die Vorgaben der DSGVO einhält. Dies wurde bei drei Großkonzernen mit jeweils 50 Fragen geprüft um festzustellen, ob die jeweiligen Organisationen eine datenschutzkonforme Verarbeitung der personenbezogenen Daten durchführt und ob die Betroffenen- sowie Datenschutzrechte ordnungsgemäß gewahrt werden. Weiterhin soll festgestellt werden, inwieweit diese Unternehmen in der Lage sind, die Einhaltung der gesetzlichen Vorgaben nachzuweisen. Nach Auswertung der Antworten sollen die Unternehmen dann auch einer Vor-Ort-Kontrolle unterzogen werden.

Obwohl die Prüfmaßnahmen also bisher durchaus moderat und vernünftig erscheinen, ist das Thema DSGVO jedoch keines, das man einfach vergessen kann und sollte. Hier ist jeder einzelne aufgefordert, sich selbst noch einmal zu vergewissern, ob er in seinem Unternehmen auch die erforderlichen Maßnahmen berücksichtigt.