Im Fokus der Aufsichtsbehörden: Praktischer Daten... | KPMG | DE

Im Fokus der Aufsichtsbehörden: Praktischer Datenschutz

Im Fokus der Aufsichtsbehörden: Praktischer Datenschutz

Seit einiger Zeit lässt sich ein Trend bei den Aufsichtsbehörden für den Datenschutz beobachten. Im Rahmen ihrer Aufsichtstätigkeit überprüfen sie verstärkt, ob Unternehmen die nach den Vorschriften des Bundesdatenschutzgesetzes verpflichtenden grundlegenden technisch-organisatorischen Maßnahmen für ihre EDV-Anlagen in angemessener Weise eingerichtet haben bzw. ob sie grundlegende datenschutz-rechtliche Anforderungen erfüllen. Ganz offenbar zielen diese breit gestreuten Maßnahmen darauf ab, bei allen Unternehmen ein Mindestmaß an Datenschutz und Datensicherheit zu erreichen. Es geht nicht um theoretische Diskussionen, sondern um die breite praktische Umsetzung des Datenschutzrechts im Unternehmensbereich.

Ansprechpartner

Verwandte Inhalte

Key, Save, Moneycards

Wir berichteten bereits im Juni über anlasslose Datenschutzkontrollen in Rechtsanwaltskanzleien. Nun haben vor einigen Wochen über 700 bayerische Unternehmen Post vom Landesamt für Datenschutzaufsicht erhalten. Dieses hatte bei 2236 in Bayern ansässigen Unternehmen automatisiert und anlasslos geprüft, ob deren Mailserver grundlegenden Datensicherheitsanforderungen genügen. Bei den angeschriebenen Unternehmen war dies nicht der Fall. Konkret ging es um die Frage, ob Unternehmen einfachste Verschlüsselungstechniken STARTTLS und Perfect Forward Secrecy  einsetzen. Das Bayerische Landesamt für Datenschutzaufsicht erinnert nachdrücklich an die Verpflichtung der Unternehmen nach den Vorschriften des BDSG, angemessene Verschlüsselungsverfahren im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle zu ergreifen. Die betroffenen Unternehmen wurden aufgefordert, binnen kurzer Frist die Sicherheitslücken in ihren Systemen zu schließen und dem Landesamt gegenüber zu erklären, aus welchem Grund diese grundlegenden Maßnahmen bisher nicht ergriffen wurden.

Weitere Maßnahmen der Aufsichtsbehörden angekündigt 

Diese Aktivitäten der bayerischen Aufsichtsbehörde stellen nur den Anfang weiterer Maßnahmen dar, hat diese doch angekündigt, das von ihr entwickelte Tool zur Mailserverüberprüfung den anderen Aufsichtsbehörden für den Datenschutz zur Verfügung zu stellen. In Kürze ist deshalb mit ähnlichen Aktionen im gesamten Bundesgebiet zu rechnen.

Was droht?

Technisch-organisatorische Maßnahmen sind die datenschutzrechtliche Visitenkarte eines Unternehmens. Diese in angemessener Form zu ergreifen, ist nach § 9 BDSG verpflichtend. Wer einen externen Dienstleister mit dem Betrieb seiner IT-Anlagen beauftragt, hat regelmäßig zu kontrollieren, dass auch dieser der Verpflichtung nachkommt. Unrechtmäßige oder fehlerhafte Datenverarbeitungsvorgänge, die auf unzureichenden technisch-organisatorischen Maßnahmen beruhen, können empfindliche Bußgelder in Höhe von bis zu 300.000 Euro je Einzelfall nach sich ziehen. Neuerdings wird außerdem in Erwägung gezogen, bei Fehlen einer angemessenen Datenschutzorganisation zu einer Anwendung der §§ 30, 130 OwiG zu gelangen, was die Verhängung einer Geldbuße von bis zu 10 Mio. Euro möglich machen würde.

Zudem ist davon auszugehen, dass die zuständigen Aufsichtsbehörden im Rahmen dieser Tests auffällige Unternehmen besonders kritisch beobachten werden. Wer schon bei einfachsten technischen Fragen versagt, dem wird eine Aufsichtsbehörde bei komplexen datenschutzrechtlichen Fragestellungen nicht allzu viel zutrauen.

Ungleich größer ist für Unternehmen, insbesondere für solche, die mit einer großen Menge von Kundendaten oder sehr sensiblen Daten wie z. B. Gesundheitsdaten arbeiten, das Risiko des Reputationsverlustes. Dies kann erhebliche wirtschaftliche Einbußen zur Folge haben, wie das Beispiel einer US-Handelskette zeigt, das im Weihnachtsgeschäft des letzten Jahres den Verlust von Kunden- einschließlich Kreditdaten melden musste. Außerdem sind schlecht gesicherte IT-Systeme ein Einfallstor für Hacker. Dann droht auch der Verlust von Unternehmensgeheimnissen.

Was ist zu tun?

Das Thema Datenschutz und Datensicherheit rückt immer mehr in den öffentlichen Fokus, Aufsichtsbehörden werden in Zukunft verstärkt prüfen, ob Unternehmen grundlegende datenschutzrechtliche Prinzipien einhalten. Wer dagegen verstößt, wird bei möglichen Bußgeldern genauso wie in der öffentlichen Meinung nicht mehr auf Milde hoffen können. Deshalb sind Unternehmen gut beraten, ihre Datenschutzorganisation regelmäßig zu aktualisieren und die ergriffenen technischen Schutzmaßnahmen zu prüfen und dem Stand der Technik anzupassen.

Sollten Sie diesbezüglich an weiteren Informationen interessiert sein, unterstützen wir Sie als KPMG AG Wirtschaftsprüfungsgesellschaft gerne mit unserer großen Erfahrung im Bereich der Compliance-Organisation und Datenschutz. Als erste Maßnahme empfiehlt sich dabei oft die Durchführung eines Datenschutz Status Checks, um eventuelle Schwachstellen bei der Datenschutz- und Datensicherheitsorganisation identifizieren und beheben zu können.

KPMG Forensic News

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden