Im Mai letzten Jahres trat die DSGVO und damit ein verschärfter Datenschutz in Kraft. Noch immer gibt es Unternehmen, Ärzte und Vereine, welche die neuen Datenschutzregeln nicht oder nur unvollständig umgesetzt haben. Darauf zu spekulieren, von Datenschützern nicht entdeckt zu werden, ist jedoch keine gute Wahl. Die Aufsichtsbehörden sind eifrig am Kontrollieren.
Dies gilt besonders für Bayern. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat seine Prüfaktivitäten wieder verstärkt aufgenommen. Laut Mitteilung arbeitet die Behörde flächendeckend und prüft unter Berücksichtigung ausgewählter Schwerpunkte, welche wir nachfolgend kurz vorstellen möchten.
E-Commerce
Onlineshops erfassen und speichern umfassend Daten, die von Verbrauchern stammen. Laut BayLDA wurden bereits mehrere Shops gezielt ausgewählt und kontaktiert. Insbesondere den Umgang und die Absicherung von Zahlungsdaten möchten sich die Datenschützer näher ansehen, da in Vergangenheit vermehrt Angreifer darauf abzielten, solche Daten zu erbeuten.
Arztpraxen
Die bayerischen Datenschützer haben Ärzte in den Fokus genommen. Eine Gefahr sehen sie in Ransomware, d.h. in Schadsoftware, welche IT-Systeme befällt und darauf befindliche Daten verschlüsselt. Ein großes Thema in diesem Zusammenhang ist Prävention. Die Datenschützer möchten sehen, dass Mitarbeiter für dieses Thema sensibilisiert wurden und außerdem ein angemessenes Backup-Verhalten existiert.
Rechenschaftspflicht
Ausgewählte Großunternehmen sollen gegenüber der Behörde nachweisen, dass sie datenschutzkonform handeln. Die BayLDA interessiert vor allem, wie dies in der Praxis gelingt, der Rechenschaftspflicht nachzukommen.
Umgang mit Bewerberdaten
Bei zahlreichen Unternehmen gehen regelmäßig Bewerbungen und damit auch personenbezogene Daten ein. Diesbezüglich wird geprüft, ob und in welchem Umfang die Unternehmen ihren Informationspflichten nachkommen. Bewerber müssen nachvollziehen können, was mit ihren Daten geschieht.
DSGVO Umsetzung in KMUs
Außerdem interessiert sich das BayLDA dafür, wie kleine und mittelständige Unternehmen die für sie relevanten Risiken im Datenschutz bewerten und welche Maßnahmen sie zur Absicherung ergreifen. Dies geschieht vorrangig mittels Versand von Fragebögen, vereinzelt wird auch die Einreichung von Unterlagen gefordert. Die Behörden weißt darauf hin, dass zur Hälfte Unternehmen geprüft werden, über die Beschwerden eingegangen sind.
Sub-Dienstleister und SAP Systeme
In Vorbereitung befinden sich Datenschutzprüfungen, in deren Rahmen ermittelt werden soll, wie Großunternehmen den Umgang mit Sub-Dienstleistern regeln, d.h. insbesondere ob eine Einhaltung der gesetzlichen Vorgaben erfolgt und wie notwendige Meldeprozesse eingerichtet wurden. Außerdem soll die „Löschung von Daten“ in SAP Systemen einen weiteren Schwerpunkt bilden.
Fazit
Während im vergangenen Jahr die zuständigen Aufsichtsbehörden der Länder vor allem auf die Bereitstellung von Information gesetzt haben, bricht nun eine Phase an, in deren Rahmen vermehrt Kontrollen erfolgen. Somit ist es wichtiger denn je, datenschutzrechtliche Vorgaben gewissenhaft und vollständig umzusetzen. Andernfalls können – sowohl bei Datenpannen als auch Datenschutzprüfungen – unangenehme Konsequenzen drohen.