Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) überprüft derzeit über Datenschutzprüfungen das Sicherheitsniveau bei bayerischen Unternehmen, die in den letzten Jahren von einem Ransomware-Angriff betroffen waren. Diese Kontrolle zielt darauf ab, die technischen und organisatorischen Schutzmaßnahmen im Nachgang eines Angriffs zu verbessern.
Datenschutzprüfungen durch das BayLDA: Das BayLDA führt im Rahmen seiner gesetzlichen Aufgaben regelmäßig anlassbezogene und anlasslose Datenschutzprüfungen durch. Anlassbezogene Prüfungen erfolgen meist aufgrund von Beschwerden oder konkreten Hinweisen auf mögliche Datenschutzverstöße. Anlasslose Prüfungen erfolgen nach pflichtgemäßem Ermessen branchenunabhängig in allen Regionen Bayerns. Diese Prüfungen werden in der Regel als fokussierte Prüfungen bei einzelnen Unternehmen vor Ort, als Prüfungen im Wege eines schriftlichen Verfahrens oder als Onlineprüfung automatisiert über das Internet durchgeführt. Das BayLDA beteiligt sich zudem an überregionalen Prüfungen.
Neue Stabstelle für Prüfverfahren
Mit der Prüfung zum Thema “Ransomware” startet die neu gegründete Stabstelle Prüfverfahren des BayLDA eine Reihe anlassloser fokussierter Kontrollen. In kurzen Abständen werden künftig standardisierte schriftliche und auch automatisiert über das Internet ausgeführte Prüfungen mit klarer Schwerpunktsetzung durchgeführt.
Ziel der Prüfungen
Das Ziel der regelmäßigen fokussierten Prüfungen ist einerseits, die datenschutzrechtlichen Kontrollen der nicht-öffentlichen Stellen in Bayern auszuweiten. Andererseits soll durch die begleitende Bereitstellung von Informationen das Augenmerk auch der betrieblichen Datenschutzbeauftragten auf die jeweils geprüften oder zur Prüfung anstehenden Thematiken gelenkt werden.
Anschreiben des BayLDA an Unternehmen
Das BayLDA hat an viele Unternehmen, die in den letzten Jahren von einem Ransomware-Angriff betroffen waren, ein Schreiben verschickt, in welchem auf die Datenschutzaufsicht nach Art. 58 DSGVO hingewiesen wird. Ferner kündigt das BayLDA in diesem Schreiben eine Prüfung zum Thema Ransomware-Nachprüfung an, bei der die Datenschutzrechtliche Prüfung hinsichtlich technischer und organisatorischer Maßnahmen zum vorbeugenden Schutz gegen Ransomware-Attacken nach Art. 32 DSGVO überprüft wird.
Aufforderung zur Übermittlung von Prüfunterlagen
Das BayLDA fordert die Unternehmen auf, die Prüfunterlagen zur Ransomware-Prävention auszufüllen und zusammen mit dem Abschlussbericht zum Sicherheitsvorfall einzureichen. Falls bestimmte Maßnahmen nicht ergriffen werden konnten, sind ergänzende Ausführungen zur Begründung möglich.
Fristsetzung und Konsequenzen
Das BayLDA fordert die Unternehmen dazu auf, die ausgefüllte Prüfliste und den Abschlussbericht bis spätestens zum angegebenen Datum einzureichen.
Es behält sich zudem vor, eine förmliche Anweisung gemäß Art. 58 Abs. 1 lit. a DSGVO samt Zwangsgeldandrohung zu erlassen, falls die Unternehmen die ausgefüllte Prüfliste und den Abschlussbericht bis zum angegebenen Datum nicht einreichen. Möglich ist im weiteren Verlauf der Prüfung auch eine anlassbezogene Kontrolle vor Ort bei dem Verantwortlichen.
Fazit
Das BayLDA setzt sich aktiv für die Verbesserung des Datenschutzniveaus bei bayerischen Unternehmen ein, die von Ransomware-Angriffen betroffen waren. Durch regelmäßige fokussierte Prüfungen sollen die technischen und organisatorischen Schutzmaßnahmen verbessert und das Bewusstsein für Datenschutzthemen gestärkt werden.
