Knapp ein halbes Jahr nach Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nun mit verstärkten Datenschutzkontrollen begonnen. Im Fokus der aktuellen Prüfungen steht unter anderem auch der Schutz vor Verschlüsselungstrojanern in Arztpraxen.
Als Aufsichtsbehörde ist das BayLDA für die Kontrolle der Einhaltung der datenschutzrechtlichen Vorgaben im nicht-öffentlichen Bereich in Bayern zuständig. Durch gezielte Prüfungen soll regelmäßig festgestellt werden, ob und inwieweit die gesetzlichen Vorgaben beispielsweise in Unternehmen und Arztpraxen erfüllt werden. In den vergangenen Jahren hatte das BayLDA bereits zahlreiche Datenschutzprüfungen durchgeführt.
Durch den Übergang zur DSGVO hat das BayLDA in diesem Jahr vor allem über die Neuerungen der Verordnung informiert. Dadurch sollten Unklarheiten möglichst rasch beseitigt werden und Verantwortliche erfahren, was sich im Vergleich zum bisherigen Datenschutzrecht für sie geändert hat. Mit den nun gestarteten DSGVO-Prüfungen müssen die Verantwortlichen dem BayLDA nachweisen, dass sie die neuen Vorgaben kennen und erfüllen. Ziel sei es dabei allerdings nicht, kleine Betriebe mit Datenschutzkontrollen zu überfordern, heißt es. Vielmehr sollten größere und risikobehaftete Organisationen hinsichtlich möglicher Gefährdungsquellen zu sensibilisiert und darauf hingewirkt werden, dass personenbezogene Daten gerade dort wirksam und angemessen geschützt werden. Im Nachgang zu schriftlichen Prüfungen werden die ausgewählten Unternehmen zum Teil auch vor Ort besucht und die gemachten Angaben auf Richtigkeit kontrolliert.
Arztpraxen auf dem Prüfstand
Neben Online-Shops und größeren Unternehmen sollen auch Arztpraxen verstärkt überprüft werden. Ein wichtiger Grund dafür sind Verschlüsselungstrojaner („Ransomware“), die auch in Bayern weiterhin aktiv sind: Durch diese Schadsoftware wird der Zugriff auf Daten gesperrt und anschließend Lösegeld gefordert, um die Daten wieder im ursprünglichen Zustand zu erhalten. Meldungen über einen Befall von Arbeitsplatzrechnern bei bayerischen Verantwortlichen erreichen die Datenschützer eigenen Angaben zufolge wöchentlich.
Bei einer Infektion kann sich die Schadsoftware unter Umständen im gesamten Netzwerk der betroffenen Organisation ausbreiten. Ohne Datensicherung (Backups) kann nur in wenigen Fällen eine Wiederherstellung der Daten mühelos erfolgen. Meist haben infizierte Unternehmen dennoch große Probleme, wieder zu einem geregelten Arbeitsalltag zurückzukehren. Aus diesem Grund sind regelmäßige Datensicherungen und die Sensibilisierung der Mitarbeiter wertvolle Vorbeugemaßnahmen.
Gefahr unterschätzt
Betroffen waren laut BayLDA auch häufig Ärzte, die sich entweder der Gefährdungslage nicht bewusst waren oder nur über unzureichende Sicherheitsmaßnahmen verfügten. Das BayLDA hat daher beschlossen, Ärzte zum Umgang und Prävention von Ransomware-Attacken zu kontrollieren. Ziel dieser Datenschutzprüfung ist es, für ein geeignetes und wirksames Backupverhalten bei Ärzten zu sorgen, damit Patientendaten vor der realen Gefahr solcher Kryptotrojaner angemessen geschützt werden.
Das BayLDA stellt alle Informationen zu den genannten Datenschutzprüfungen mit Musterschreiben und Infoblättern auf seiner Website zur Verfügung.