Datenschutzprüfungen

Das BayLDA führt im Rahmen seiner gesetzlichen Aufgaben regelmäßig anlassbezogene und anlasslose Datenschutzprüfungen durch. Anlassbezogene Prüfungen erfolgen meist aufgrund von Beschwerden oder konkreten Hinweisen auf mögliche Datenschutzverstöße. Anlasslose Prüfungen erfolgen nach pflichtgemäßem Ermessen branchenunabhängig in allen Regionen Bayerns. Das BayLDA führt diese anlasslosen Prüfungen in der Regel als sog. fokussierte Prüfungen bei einzelnen Unternehmen vor Ort, als Prüfungen im Wege eines schriftlichen Verfahrens oder als Onlineprüfung automatisiert über das Internet durch. Darüber hinaus beteiligt sich das BayLDA auch an überregionalen Prüfungen.

Im nachfolgenden Bereich ist eine Auswahl der vom BayLDA durchgeführten Kontrollen aufgelistet.

Datenschutzprüfungen
12/2018

Start: offen
Ende: offen


Kurzbeschreibung
Im Rahmen einer separaten Kontrolle sollen Löschroutinen bei größeren Unternehmen untersucht werden. Fokus soll hierbei das DS-GVO-konforme und fristgerechte Löschen personenbezogener Daten in ERP-Systemen sein. Dafür ist geplant, den Einsatz von SAP-Software bei Unternehmen hinsichtlich der vorhandenen Module bzw. Datenlösch-Applikationen zu kontrollieren und die erforderlichen Löschkonzepte zu begutachten.
Prüfgrundlage
Art. 17 DS-GVO
Art. 25 DS-GVO
Zielgruppe
Größere Unternehmen mit SAP-Systemen
Auswahlkriterien
offen
Anzahl der geprüften Unternehmen
offen
Vor-Ort-Kontrolle geplant bei
offen
11/2018

Start: offen
Ende: offen


Kurzbeschreibung
Die DS-GVO hat die Meldeschwelle für sogenannte "Datenpannen" an das Risiko für die natürlichen Personen angepasst, das sich aus einer Verletzung der Sicherheit ergibt. Dies führte zu einer deutlichen Zunahme der Meldungen nach Art. 33/34 DS-GVO beim BayLDA. Auffallend bei den Meldungen ist bislang, dass die Ursache des Risikos fast ausschließlich beim Verantwortlichen in Bayern liegt. Da nach der DS-GVO allerdings auch Verletzungen der Sicherheit bei Dienstleistern (sogar bei weiterer Unterauftragvergabe) für die Verantwortlichen eine Meldeverpflichtung auslöst, stellt sich dem BayLDA die Frage, wieso es kaum Meldungen gibt, die von (internationalen) Dienstleistern ausgelöst werden. Die Prüfung soll diese Fragestellung erhellen und beschäftigt sich mit dem "Incident Response" bei den größeren und datengetriebenen Unternehmen.
Prüfgrundlage
Art. 33 DS-GVO
Art. 34 DS-GVO
Art. 28 DS-GVO
Zielgruppe
Größere und Datengetriebene Unternehmen mit (vermutlich) vielen Dienstleistern im internationalen Umfeld
Auswahlkriterien
Manuelle Auswahl von Unternehmen, bei denen von einer größeren Anzahl (internationaler) Auftragsverarbeitungen auszugehen ist.
Anzahl der geprüften Unternehmen
15
Vor-Ort-Kontrolle geplant bei
7

Start: 16.11.2018
Ende: Geplant bis 21.12.2018


Kurzbeschreibung
Prüfungsgegenstand dieser Kontrolle ist der sichere Einsatz von WordPress als CMS. Anfang November 2018 wurde eine sehr kritische Sicherheitslücke in einer Erweiterung für WordPress-Installationen bekannt. Das WP GDPR Compliance Plugin besitzt bis einschließlich Version 1.4.2 eine kritische Schwachstelle, durch die die Angreifer problemlos die Website übernehmen können.
Prüfgrundlage
32 DS-GVO
Zielgruppe
Websitebetreiber
Auswahlkriterien
Alle dem BayLDA bekannten bayerischen Websites wurden hinsichtlich dieses Plugins untersucht.
Anzahl der geprüften Websites
23
Vor-Ort-Kontrolle geplant bei
0

Start: 06.11.2018
Ende: offen


Kurzbeschreibung
Die DS-GVO verlangt vom Verantwortlichen, dass die Einhaltung der DS-GVO nachgewiesen wird (Art. 5 Abs. 2 DS-GVO). Diese "Rechenschaftspflicht" stellt vom Grundsatz her eine "Nachweislast-Umkehr" dar, was bedeutet, dass die Einhaltung der gesetzlichen Anforderungen der Aufsichtsbehörde bei einer Kontrolle dargestellt werden muss. Während dies bei großen Unternehmen in der Regel nur anhand einer systematischen Ausgestaltung der Geschäftsprozesse erreicht werden kann, skaliert die DS-GVO bei KMUs (Kleineren und mittelständischen Unternehmen) recht gut. Die Einhaltung der datenschutzrechtlichen Anforderungen kann deutlich weniger formal erreicht werden – viele wichtige Punkte werden im Rahmen dieser Prüfung abgefragt.
Prüfgrundlage
Art. 5 Abs. 2 DS-GVO
Zielgruppe
Kleine Unternehmen (ab 100 Mitarbeiter) und mittelständische Unternehmen (ab 500 Mitarbeiter)
Auswahlkriterien
Es wurden 7 Unternehmen ausgewählt, zu denen es seit in letzter Zeit gehäuft Datenschutzbeschwerden bei BayLDA gab. Die anderen 8 Unternehmen wurden zufällig ausgewählt.
Anzahl der geprüften Unternehmen
15
Vor-Ort-Kontrolle geplant bei
5 - 15

Prüfunterlagen:
Fragebogen
10/2018

Start: 30.10.2018
Ende: offen


Kurzbeschreibung
Prüfungsgegenstand dieser Kontrolle ist der sichere Einsatz von Online-Shop-Systemen. Magento-Shop-Installationen werden dahingehend untersucht, ob bei den betroffenen Systemen alle verfügbaren wichtigen Sicherheitspatches eingespielt und bekannte kritische Schwachstellen behoben wurden. Des Weiteren wird überprüft, ob die verantwortlichen Websitebetreiber über einen geregelten Prozess zum Patch Management verfügen sowie die datenschutzrechtlichen Verpflichtungen im Umgang mit Sicherheitsverletzungen im Bedarfs-fall umsetzen können (Incident Response).
Prüfgrundlage
Art. 32 DS-GVO
Zielgruppe
Verantwortliche im eCommerce-Umfeld: Online-Shops mit Magento-Software
Auswahlkriterien
100 zufällig ausgewählte Online-Shops in Bayern wurden hinsichtlich des Einsatzes von Magento vorselektiert. 20 dieser Shops hatten Magento als Shop-Software aktiv in Verwendung und wurde detailliert kontrolliert. Die übrigen Shops nutzen eine andere Shop-Struktur und wurden im Rahmen dieser Großprüfung nicht näher untersucht.
Anzahl der geprüften Unternehmen
100
Vor-Ort-Kontrolle geplant bei
offen

Start: 24.10.2018
Ende: offen


Kurzbeschreibung
Bei zufällig ausgewählten Verantwortlichen wird die Verarbeitung von personenbezogenen Daten in Bewerbungsverfahren untersucht. Schwerpunkt ist korrekte Umsetzung der Informationspflicht gegenüber Bewerbern, wodurch jeder Bewerber letztendlich auch erfahren sollte, wie mit seinen Daten umgegangen wird.
Prüfgrundlage
Art 13 DS-GVO
Anzahl der geprüften Unternehmen
15
Zielgruppe
Größere Unternehmen
Auswahlkriterien
Die Auswahl der geprüften Unternehmen erfolgte zufällig, jedoch wurde darauf geachtet, dass es sich um große Organisationen handelt.
Anzahl der geprüften Unternehmen
15
Vor-Ort-Kontrolle geplant bei
offen

Prüfunterlagen:
Anschreiben

Start: 12.10.2018
Ende: offen


Kurzbeschreibung
Ein Verschlüsselungstrojaner (auch Ransomware genannt), ist eine Schadsoftware, durch die der Zugriff auf Daten gesperrt und anschließend ein Lösegeld gefordert wird, um die Daten wieder im ursprünglichen Zustand verfügbar zu machen. Gerade im medizinischen Bereich sind Angriffe mittels Verschlüsselungstrojaner oft besonders kritisch, weil bei einem fehlenden Zugriff auf Patienten- und Behandlungsdaten beispielsweise Behandlungen nicht mehr garantiert werden können. Es besteht also gerade in diesem Bereich eine hohe Dringlichkeit, die Daten schnell wiederherzustellen. Das BayLDA hat sich deshalb entschieden, Ärzte mit Fragestellungen zum Umgang und zur Prävention von Angriffen mittels Verschlüsselungstrojaner zu kontrollieren. Ziel ist es dabei, dass Patientendaten angemessen vor der Gefahr durch Verschlüsselungstrojaner geschützt werden.
Prüfgrundlage
Art 32 DS-GVO
Art 33 DS-GVO
Art 34 DS-GVO
Zielgruppe
Arztpraxen
Auswahlkriterien
Bei der Auswahl der Arztpraxen wurde darauf geachtet, medizinische Fachbereiche zu wählen, bei denen ein Angriff mittels eines Verschlüsselungstrojaners besonders kritisch ist und es deshalb wahrscheinlich ist, dass das geforderte Lösegeld schnell gezahlt wird. Die abschließende Auswahl wurde nach dann dem Zufallsprinzip getroffen.
Anzahl der geprüften Unternehmen
8
Vor-Ort-Kontrolle geplant bei
offen

Prüfunterlagen:
Fragebogen
Informationsblatt

Start: 01.10.2018
Ende: offen


Kurzbeschreibung
Die DS-GVO verlangt vom Verantwortlichen, dass die Einhaltung der DS-GVO nachgewiesen wird (Art. 5 Abs. 2 DS-GVO). Diese "Rechenschaftspflicht" stellt vom Grundsatz her eine "Nachweislast-Umkehr" dar, was bedeutet, dass die Einhaltung der gesetzlichen Anforderungen der Aufsichtsbehörde bei einer Kontrolle dargestellt werden muss. Konkret bedeutet dies, dass sowohl die Aufbauorganisation bei großen Unternehmen so gestaltet ist, dass neben dem betrieblichen Datenschutzbeauftragten weitere Akteure (z.B. Rechts-/Complianceabteilung oder IT-Sicherheit) sich mit datenschutzrechtlichen Anforderungen beschäftigen. Des Weiteren müssen in der sogenannten Ablauforganisation drei Kernprozesse im Unternehmen wirksam ausgestaltet sein:

  1. Datenschutzkonforme Verarbeitung
  2. Umgang mit Betroffenenrechten
  3. Umgang mit Datenschutzverletzungen
Ziel der Prüfung ist vereinfacht gesprochen, die Einhaltung der Datenschutzgrundverordnung im Unternehmensalltag bei großen Unternehmen, festzustellen.
Prüfgrundlage
Art. 5 Abs. 2 DS-GVO
Art. 24 DS-GVO
Zielgruppe
(Groß-)Konzerne und Datengetriebene Unternehmen
Auswahlkriterien
Es wurden Unternehmen ausgewählt, bei denen das BayLDA davon ausgeht, dass diese die DS-GVO schon bestmöglich umgesetzt haben. Die Ergebnisse dieser Prüfung definiert bei zukünftigen Prüfungen anderer großer Unternehmen dann die zu erreichende "Messlatte".
Anzahl der geprüften Unternehmen
3
Vor-Ort-Kontrolle geplant bei
3

Prüfunterlagen:
Fragebogen
02/2018

Start: 08.02.2018
Ende: 29.08.2018


Kurzbeschreibung
Prüfungsgegenstand ist der sichere Einsatz sog. Content-Management-Systeme (CMS). Mit diesen Systemen lässt sich der Inhalt von Webseiten erstellen, bearbeiten und verwalten. Viele der weitverbreiteten Systeme, die meist als Open-Source kostenfrei genutzt werden können, verfügen jedoch über Sicherheitslücken, die je nach Grad der Ausprägung als kritisch einzustufen sind und dadurch den Schutz personenbezogener Daten gefährden. Aus diesem Grund ist es notwendig, durch gezieltes Patch Management vorhandene Lücken zu schließen und die vom Hersteller bereitgestellten neuesten Versionen einzuspielen, um so den vielfältigen Angriffsmöglichkeiten von Cyberkriminellen präventiv entgegenzutreten. Im Rahmen der Prüfung wird bei ausgewählten Websites, die ein potentiell attraktives Angriffsziel bieten, das CMS "WordPress" hinsichtlich der eingespielten Sicherheitspatches untersucht.
Prüfgrundlage
§ 9 BDSG-alt
Art. 32 DS-GVO
Zielgruppe
Websites
Auswahlkriterien
Die untersuchten Verantwortlichen wurden nach zwei Kriterien ausgewählt:

  1. Der Webauftritt stellt auf Grund seiner Art ein attraktives Angriffsziel für Cyberkriminelle dar.
  2. Es gab bereits Sicherheitsvorfälle in der jüngeren Vergangenheit bezüglich des eingesetzten CMS bei dem Verantwortlichen oder ähnlichen Verantwortlichen in der Zielgruppe.
Anzahl der geprüften Websites
172
Vor-Ort-Kontrolle geplant bei
0