Die Aufsichtsbehörden der Länder sind gem. Art. 57 DSGVO dazu befugt und verpflichtet (!), in ihrem Hoheitsgebiet die Anwendung der DSGVO zu überwachen und durchzusetzen.
Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) macht seine Datenschutzprüfungen publik und teilt mit, welche Prüfungen bereits abgeschlossen sind, welche noch laufen und welche in naher Zukunft vorgenommen werden.
Einige Beispiele möchte ich hier zur Übersicht aufführen:
Umsetzung der DSGVO bei kleinen und mittelständischen Unternehmen (KMUs)
Zielgruppe dieser Prüfung sind kleine Unternehmen (ab 100 Mitarbeiter) und mittelständische Unternehmen (ab 500 Mitarbeiter).
Folgende Auswahlkriterien nennt das BayLDA: „Es wurden 7 Unternehmen ausgewählt, zu denen es seit in letzter Zeit gehäuft Datenschutzbeschwerden bei BayLDA gab. Die anderen 8 Unternehmen wurden zufällig ausgewählt.“
Den hierzu gehörenden Fragebogen finden Sie hier als pdf.
Informationspflichten in Bewerbungsverfahren
Eine weitere Datenschutzprüfung des BayLDA ist z.B. die Prüfung von Informationspflichten in Bewerbungsverfahren. Geprüft werden 15 „größere Unternehmen“. Entscheidend ist, dass die Unternehmen die Bewerber hinreichend darüber informieren, was mit ihren Daten passiert. Das Anschreiben hierzu finden Sie hier.
Patch-Management bei Nutzung von Magento für Online-Shops
Das BayLDA prüft 100 zufällig ausgewählte Shops in Bayern auf:
– den sicheren Einsatz von Online-Shop-Systemen. Magento-Shop-Installationen werden vom BayLDA dahingehend untersucht, ob bei den betroffenen Systemen alle verfügbaren wichtigen Sicherheitspatches eingespielt und bekannte kritische Schwachstellen behoben wurden,
– ob die verantwortlichen Websitebetreiber über einen geregelten Prozess zum Patch Management verfügen,
– ob die Verantwortlichen die datenschutzrechtlichen Verpflichtungen im Umgang mit Sicherheitsverletzungen im Bedarfsfall umsetzen können (Incident Response).
Datenschutz ist ein fortlaufender Prozess
Nur weil es seit dem 25.05.2018 ruhig geworden ist, bedeutet dies nicht, dass sich nun alle auf den Maßnahmen bis zum 25.05.18 ausruhen können. Es gilt, seine Prozesse fortlaufend zu überprüfen und die Sicherheitsmaßnahmen stets dem Stand der Technik anzupassen.
