Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) gibt an, dass es aktuell seine Prüfaktivitäten verstärkt. Die flächendeckenden Datenschutzkontrollen in Bayern fokussieren sich nach Angaben des BayLDA auf Prüfungen bei Online-Shops, bei Arztpraxen und in Bezug auf die Erfüllung der Accountibility-Pflichten würden Großkonzerne geprüft. Bei mittelständischen Unternehmen konzentrieren sich die Prüfungen auf die Umsetzung der Informationspflichten im Rahmen von Bewerbungsverfahren.
Im Rahmen der Prüfung der ausgesuchten Arztpraxen stand die Prüfung der Datensicherung im Vordergrund. Durch die Schadsoftware wie bspw. Verschlüsselungstrojaner werde der Zugriff auf Daten gesperrt und anschließend Lösegeld gefordert, um die Daten wieder im ursprünglichen Zustand zu erhalten. Meldungen über einen Befall von Arbeitsplatzrechnern bei bayerischen Verantwortlichen erreichen das BayLDA wöchentlich, so das BayLDA. Im Falle einer Infektion könne sich die Schadsoftware unter Umständen im gesamten Netzwerk der betroffenen Organisation ausbreiten. Ohne Datensicherung (Backups) könne nur in wenigen Fällen eine Wiederherstellung der Daten mühelos erfolgen.
Das BayLDA habe des Weiteren drei Großkonzernen jeweils 50 Fragen gestellt und prüft damit, ob in der jeweiligen Organisation eine datenschutzkonforme Verarbeitung personenbezogener Daten stattfindet und mit Betroffenenrechten sowie Datenschutzverletzungen richtig umgegangen wird. Ziel dieser Prüfung sei es also zudem festzustellen, inwieweit große Unternehmen in der Lage sind, die Einhaltung der gesetzlichen Vorgaben aus der DS-GVO auch nachzuweisen.
Bereits im Jahr 2015 habe das BayLDA in einer Großprüfung Unternehmen daraufhin kontrolliert, ob mit Bewerberdaten sachgemäß umgegangen wird. Dabei wurden einige Mängel vorgefunden, die erst im Rahmen der Aufarbeitung behoben wurden. Mit dieser Erfahrung entschied sich das BayLDA deshalb nun im Oktober 2018, erneut bei zufällig ausgewählten Verantwortlichen die Verarbeitung personenbezogener Daten in Bewerbungsverfahren zu untersuchen. Schwerpunkt sei dieses Mal, inwieweit die Informationspflicht gegenüber den Bewerbern korrekt umgesetzt wird und Bewerber letztendlich auch erfahren, wie mit ihren Daten umgegangen wird. Hierzu werden derzeit 15 Verantwortliche in Bayern, ausschließlich größere Betriebe und Vereine, geprüft.
In einer Prüfung zur allgemeinen Datenschutzorganisation waren darüber hinaus bei 15 KMUs 20 Fragen zu beantworten und zum Teil Unterlagen vorzulegen. Ein Schwerpunkt der Kontrolle stellte die Berücksichtigung des risikoorientierten Ansatzes der DS-GVO dar, der im Prinzip bedeutet, dass technische und organisatorische Schutzmaßnahmen entsprechend des Risikos aber auch nach der Größe und Art des Unternehmens auszuwählen sind.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA)