Anlasslose Prüfungen von IT-Sicherheitsmaßnahmen durch die Bayerische Aufsichtsbehörde
Veröffentlicht am 19th Jan 2022
Die Bayerische Aufsichtsbehörde (Bayerisches Landesamt für Datenschutzaufsicht, BayLDA) hat eine neue Stabsstelle für Prüfverfahren gegründet. Wie im Dezember 2021 angekündigt, soll der Fokus der ersten von dieser Stabsstelle durchgeführten Prüfung auf Sicherheitsmaßnahmen zum Schutz gegen Ransomware-Attacken liegen. Einen Link zur Kopie der Checkliste finden Sie am Ende dieses Beitrags. Weitere anlassunabhängige Prüfungen sollen folgen.
Wer wird geprüft?
Das BayLDA hat die Unternehmen und Einrichtungen, die geprüft werden sollen, bereits kontaktiert. Bei den betroffenen Unternehmen handelt es sich um kleine und mittlere Unternehmen, kleinere Krankenhäuser, Schulen und Arztpraxen. Wir empfehlen Unternehmen trotzdem, ihre IT-Sicherheitsmaßnahmen mit der Checkliste des BayLDA zu vergleichen, um zu ermitteln, ob die eigenen Maßnahmen zum Schutz gegen Ransomware-Attacken angemessen sind.
Gab es einen besonderen Anlass, der diese Prüfung durch das BayLDA ausgelöst hat?
Soweit ersichtlich gab es keinen besonderen Anlass für diese Prüfung. Das BayLDA hat in Bayern zuletzt aber ein verstärktes Aufkommen von Ransomware-Attacken registriert. Einen Anstieg komplexer Cyber-Attacken beobachtet auch das Bundesamt für Sicherheit in der Informationstechnik. Oft sind Ransomware-Attacken auch als Datenschutzverletzungen im Sinne der DS-GVO zu bewerten, die eine Melde- und Benachrichtigungspflicht gegenüber der zuständigen Aufsichtsbehörde bzw. den betroffenen Personen auslösen.
Besteht eine rechtliche Pflicht, die Checkliste zu befolgen?
Nein. Die Checkliste ist rechtlich nicht verbindlich, so dass keine unmittelbaren Konsequenzen drohen, wenn Unternehmen die darin enthaltenen Maßnahmen nicht umsetzen.
Hat es rechtliche Vorteile, die Checkliste umzusetzen?
Die Checkliste sollte als best-practice-Empfehlung verstanden werden. Wenn der Nachweis erbracht werden kann, dass die in der Checkliste empfohlenen Maßnahmen umgesetzt wurden, kann dies den Nachweis der Wahrung der Vorgaben von Artikel 24 und 32 DS-GVO erleichtern. Die Checkliste kann daher als wertvolle Orientierung und als Benchmark Tool dienen, da sie die grundlegenden Anforderungen enthält, die das BayLDA als geeignet ansieht, um die Risiken im Hinblick auf Ransomware zu reduzieren. Wir empfehlen daher, die Checkliste zu nutzen, um zu prüfen, welche der empfohlenen Maßnahmen bereits umgesetzt wurden und die IT-Sicherheitsmaßnahmen erforderlichenfalls zu ergänzen.
Wo finden wir die Checkliste?
Die Checkliste wurde zusammen mit begleitenden Informationen auf der Webseite des BayLDA veröffentlich. Eine Kopie der Checkliste können Sie hier downloaden.