2. BayLDA prüft Unternehmen und...
DataAgenda

BayLDA prüft Unternehmen und Ärzte nach der DS-GVO

Arztpraxis und DS-GVO

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) gibt an, dass es aktuell seine Prüfaktivitäten verstärkt. Die flächendeckenden Datenschutzkontrollen in Bayern fokussieren sich nach Angaben des BayLDA auf Prüfungen bei Online-Shops, bei Arztpraxen und in Bezug auf die Erfüllung der Accountibility-Pflichten bei Großkonzernen. Bei mittelständischen Unternehmen konzentrieren sich die Prüfungen auf die Umsetzung der Informationspflichten im Rahmen von Bewerbungsverfahren.

Prüfung der Datensicherung steht im Vordergrund

Im Rahmen der Prüfung der ausgesuchten Arztpraxen stand die Prüfung der Datensicherung im Vordergrund. Durch die Schadsoftware wie bspw. Verschlüsselungstrojaner werde der Zugriff auf Daten gesperrt und anschließend Lösegeld gefordert, um die Daten wieder im ursprünglichen Zustand zu erhalten. Meldungen über einen Befall von Arbeitsplatzrechnern bei bayerischen Verantwortlichen erreichen das BayLDA wöchentlich, so das BayLDA. Im Falle einer Infektion könne sich die Schadsoftware unter Umständen im gesamten Netzwerk der betroffenen Organisation ausbreiten. Ohne Datensicherung (Backups) könne nur in wenigen Fällen eine Wiederherstellung der Daten mühelos erfolgen.

Das BayLDA habe des Weiteren drei Großkonzernen jeweils 50 Fragen gestellt und prüft damit, ob in der jeweiligen Organisation eine datenschutzkonforme Verarbeitung personenbezogener Daten stattfindet und mit Betroffenenrechten sowie Datenschutzverletzungen richtig umgegangen wird. Ziel dieser Prüfung sei es also zudem festzustellen, inwieweit große Unternehmen in der Lage sind, die Einhaltung der gesetzlichen Vorgaben aus der DS-GVO auch nachzuweisen.

Bereits 2015 wurden Mängel vorgefunden

Bereits im Jahr 2015 habe das BayLDA in einer Großprüfung Unternehmen daraufhin kontrolliert, ob mit Bewerberdaten sachgemäß umgegangen wird. Dabei wurden einige Mängel vorgefunden, die erst im Rahmen der Aufarbeitung behoben wurden. Mit dieser Erfahrung entschied sich das BayLDA deshalb nun im Oktober 2018, erneut bei zufällig ausgewählten Verantwortlichen die Verarbeitung personenbezogener Daten in Bewerbungsverfahren zu untersuchen. Schwerpunkt sei dieses Mal, inwieweit die Informationspflicht gegenüber den Bewerbern korrekt umgesetzt wird und Bewerber letztendlich auch erfahren, wie mit ihren Daten umgegangen wird. Hierzu werden derzeit 15 Verantwortliche in Bayern, ausschließlich größere Betriebe und Vereine, geprüft.

In einer Prüfung zur allgemeinen Datenschutzorganisation waren darüber hinaus bei 15 KMUs 20 Fragen zu beantworten und zum Teil Unterlagen vorzulegen. Ein Schwerpunkt der Kontrolle stellte die Berücksichtigung des risikoorientierten Ansatzes der DS-GVO dar, der im Prinzip bedeutet, dass technische und organisatorische Schutzmaßnahmen entsprechend des Risikos aber auch nach der Größe und Art des Unternehmens auszuwählen sind.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA)

Letztes Update:13.11.18

Das könnte Sie auch interessieren

  • ChatGPT

    Kritik an ChatGPT nimmt zu

    Einige werden meinen, dass die Überschrift “Kritik an ChatGPT nimmt zu” ggf. relativiert werden müsste mit der Einfügung “(zumindest in Europa)”. Andere würden wahrscheinlich sogar weiter relativieren wollen und hinzufügen wollen: (“zumindest in Deutschland!)”.Aber ist es tatsächlich so, dass sich Widerstand oder zumindest Besorgnis bezüglich der Nutzbarkeit von KI-Anwendungen nur in Europa regt – Besorgnis

    Mehr erfahren
  • Datenpanne bei Auftragsverarbeiter

    Datenpannen bei Auftragsverarbeitern – Pflichten des Auftragsverarbeiters und des Auftraggebers?

    Mit Einführung der DS-GVO ist der Auftragsverarbeiter neben dem Verantwortlichen als Normadressat getreten. Dies gilt sowohl für die Kernnorm der Auftragsverarbeitung gem. Art. 28 DS-GVO, als auch viele weitere Normen, in denen die Verantwortlichkeit des Auftragsverarbeiters ausdrücklich genannt wird. Verschärft wird diese Situation durch die Haftungs- und Bußgeldregelungen (Artt. 82 und 83 DS-GVO) sowie ein

    Mehr erfahren
  • Patientenakte

    Mitarbeiterexzess: Geldbußen gegen Beschäftigte

    Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. In bestimmen Fällen kann aber auch der Arbeitnehmer unmittelbar Adressat einer aufsichtsbehördlichen (Sanktions-)Maßnahme sein. Dafür muss der Beschäftigte als „Verantwortlicher“ im Sinne

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.