Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!b
© Agence Olloweb, Unsplash
Neues von den Aufsichtsbehörden: Aktuelle Prüfungen
Sind Ihre Auftragsverarbeitungsverträge datenschutzkonform? Welche Maßnahmen ergreifen Sie zum Schutz von E-Mail-Accounts? Sind Ihre Mitarbeitenden für Phishing-Attacken sensibilisiert?
Derartigen Fragen müssen sich derzeit einige Organisationen aus Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt bzw. Bayern stellen. Denn die Datenschutz-Aufsichtsbehörden führen aktuell Prüfungen durch. Die Aufsichtsbehörden erfüllen damit nicht nur ihre gesetzlichen Aufgaben, sondern wollen Organisationen vor allem beim Schutz personenbezogener Daten unterstützen.
Was genau die Aufsichtsbehörden prüfen und was Organisationen beachten sollten, haben wir für Sie zusammengefasst.
Bayern prüft Sicherheit von E-Mail-Accounts
Hintergrund
Phishing, Ransomware oder Hacken von Accounts – Cyberattacken auf E-Mail-Konten sind allgegenwärtig. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) registriert ebenfalls seit einigen Monaten vermehrt derartige Attacken. Ziel ist vor allem das Abgreifen von vertraulicher E-Mail-Kommunikation. Gleichzeitig wird oft versucht, tiefer in die Netzwerkstruktur einzudringen oder Schadsoftware zu verteilen.
Als Ursache für derartige Angriffe identifiziert das BayLDA primär unsachgemäße Bedienung durch Mitarbeitende. Hier fehle häufig das nötige Sicherheitsbewusstsein. Hinzu kommen fehlerhafte Konfiguration und Absicherung der Accounts. Die dadurch entstehenden Sicherheitslücken werden durch die mobile Arbeit, beispielsweise im Homeoffice, zusätzlich verstärkt.
Um Organisationen vor derartigen Attacken zu schützen, führt die Aufsichtsbehörde nun datenschutzrechtliche Prüfungen durch. Ziel ist es, grundlegende Sicherheitslücken oder Mängel in der IT-Organisation aufzuzeigen, bevor es zu einem Vorfall kommt.
Prüfung
Gegenstand der Prüfung sind die eigesetzten technischen und organisatorischen Maßnahmen zum Schutz vor Cyberattacken auf E-Mail-Accounts, wie sie in Art. 32 DSGVO festgelegt sind. Dazu erhalten zufällig ausgewählte Verantwortliche einen Prüfbogen, der Maßnahmen zu folgenden Bereichen abfragt:
- Phishing-Awareness und allgemeines Sicherheitsbewusstsein
- Passwörter, Mehr-Faktor-Authentifizierung und Benutzerverwaltung
- Administrative Pflege der Accounts und Konfiguration
- Überprüfung des Datenverkehrs
- Device und Patch Management sowie Backup-Konzept
Zusätzlich erhalten die ausgewählten Organisationen eine sechsseitige Handreichung mit Basisanforderungen und Erläuterungen zu jedem der fünf abgefragten Punkte. Diese Handreichung ist auch für nicht betroffene Organisationen eine gute Hilfestellung, um die eigenen Maßnahmen zu überprüfen und gegebenenfalls anzupassen.
Erfüllen die befragten Organisationen die Anforderungen nicht, kann das BayLDA bei Verstößen Geldbußen verhängen. Außerdem behält sich die Aufsichtsbehörde vor, die Umsetzung der angegebenen Maßnahmen vor Ort zu überprüfen sowie Dokumentationen oder weitere relevante Unterlagen anzufordern.
Berlin prüft Auftragsverarbeitungsverträge von Webhostern
Hintergrund
Die allermeisten Organisationen betreiben ihre Internetseite über externe Dienstleistungs-Unternehmen, sogenannte Webhoster. Diese verarbeiten auch personenbezogene Daten von den Seitenbesucher:innen der Organisation. Da die Verarbeitung im Regelfall im Auftrag der Organisation erfolgt, gelten Webhoster als Auftragsverarbeiter. Somit müssen Organisationen mit ihren Webhostern einen spezifischen Vertrag – den Auftragsverarbeitungsvertrag (AVV) – schließen, um einen konkreten Rahmen für diese weisungsgebundenen Tätigkeiten zu schaffen.
Die Aufsichtsbehörden erreichen allerdings regelmäßig Meldungen von Verantwortlichen, dass die von den Webhostern angebotenen AVV nicht datenschutz-konform sind und Webhoster diese nicht anpassen wollen. Auch eigene Prüfungen bestätigen dies immer wieder.
Häufig fehlt in den AVV ein ausreichender Nachweis, dass die Webhoster die vereinbarten Datenschutzmaßnahmen umsetzen. Das ist nicht nur problematisch für die Webhoster selbst, sondern auch für die beauftragenden Organisationen. Sie gelten als Verantwortliche gegenüber Aufsichtsbehörden und Betroffenen und müssen nachweisen können, dass sie die Datenschutz-Vorgaben einhalten.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BInBDI) führt deshalb eine Prüfung durch, um Webhoster und Verantwortliche bei der Schließung rechtskonformer AVV zu unterstützen.
Prüfung
Im Rahmen der Prüfung kontrolliert die BInBDI die Auftragsverarbeitungsverträge zwischen ausgewählten großen Webhostern aus Berlin und deren Kund:innen. Auch die Aufsichtsbehörden aus Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern beteiligen sich an der koordinierten Prüfung.
Zusätzlich hat die BInBDI eine umfassende Checkliste für Verantwortliche und Webhoster entwickelt und setzt einen Standard für AVV-Prüfung, der auch in anderen Bereichen angewandt werden kann. Die BInBDI ermuntert „alle IT-Dienstleister, ihre Standverträge selbstständig zu prüfen und an das Gesetz anzupassen“ – so Volker Brozio, kommissarischer Dienststellenleiter der BInBDI. Denn Bußgelder können nicht nur Verantwortliche, sondern auch IT-Dienstleister treffen, wenn sie keine ordnungsgemäßen AV-Verträge einsetzen.
Fazit
Die Prüfungen von Datenschutzaufsichtsbehörden geben einen Hinweis darauf, welche Themen im Datenschutz aktuell sind und worauf die Behörden besonders achten. Daher empfiehlt es sich auch für Organisationen, die nicht aktiv geprüft werden, einen Blick auf die eigene Datenschutz-Organisation zu werfen.
Die Checklisten der Aufsichtsbehörden sind dafür gute Anknüpfungspunkte und geben einen ersten Überblick, worauf Organisationen achten sollten. Überprüfen Sie daher Ihre AVV und Ihre Maßnahmen zum Schutz von E-Mail-Accounts, um auf der sicheren Seite zu sein und teure Bußgelder zu vermeiden!
Wir unterstützen Sie!
Sie sind sich unsicher, ob Ihre AVV datenschutzkonform sind? Oder ob Ihre technischen und organisatorischen Maßnahmen zum Schutz von E-Mail-Accounts ausreichend sind? Wir überprüfen Ihre Verträge und Maßnahmen auf Datenschutzkonformität.
Quellen
Bayerisches Landesamt für Datenschutzaufsicht (2022): „Aufsicht nach Art. 58 Datenschutz-Grundverordnung (DS-GVO). Präventionsprüfung zum Thema Absicherung von E-Mail-Account“, https://www.lda.bayern.de/media/pruefungen/Mail_Account_Praevention_Anschreiben.pdf.
Bayerisches Landesamt für Datenschutzaufsicht (2022): „Berliner Datenschutzbeauftragte prüft Auftragsverarbeitungsverträge von Webhostern“, 19. Juli 2022, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220718-BlnBDI-AVV-Pruefung.pdf.
Bayerisches Landesamt für Datenschutzaufsicht (2022): „Handreichung zum Prüfbogen. Details zur Absicherung von E-Mail-Accounts – Schwerpunkt Phishing“, https://www.lda.bayern.de/media/pruefungen/Mail_Account_Praevention_Handreichung.pdf.
Bayerisches Landesamt für Datenschutzaufsicht (2022): „Prüfbogen „Absicherung von E-Mail-Accounts“, https://www.lda.bayern.de/media/pruefungen/Mail_Account_Praevention_Pruefbogen.pdf.
Berliner Beauftragte für Datenschutz und Informationsfreiheit (2022): „Berliner Datenschutzbeauftragte prüft Auftragsverarbeitungsverträge von Webhostern“, 19. Juli 2022, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220718-BlnBDI-AVV-Pruefung.pdf.
Berliner Beauftragte für Datenschutz und Informationsfreiheit (2022): „Checkliste Prüfung AVV“, 20. Juni 2022, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/themen-a-z/a/2022-BlnBDI-Checkliste_Pruefung_AVV_v1.0.pdf.
Externer Datenschutz – Datenschutz und Datensicherheit – Datenschutzschulungen
Impressum | Datenschutzerklärung