DSGVO – Die Prüfverfahren der Aufsichtsbehörden BayLDA von E-Mail-Sicherheit und AVV

Welche Vorkehrungen treffen die Bundes-und Datenschutzbehörden im Sinne der Datenschutzgrundverordnung DSGVO? Im Beitrag zwei Prüfverfahren inkl. Maßnahmenkatalog und Checkliste von den Behörden:

Datenschutzbehörden aus Bayern (BayLDA), Berlin (BlnBDI) und anderen Ländern führen Zwei-Wege-Prüfungen für Unternehmen durch, um ihre E-Mail-Konten vor Hacker- und Cyberangriffen zu schützen und gesetzliche Vereinbarungen zur Auftragserfüllung zu erfüllen. Behördlich gesammelte Erfahrungswerte aus jahrelanger Recherche machten dies unumgänglich. Gerade die Cyberkriminalität aus Südosteuropa hat in den vergangenen Jahren zugenommen.

Prüfung 1:  Präventionsprüfung durch BayLDA:

Ein Steuerelement zum Schutz der Sicherheit von E-Mail-Konten nach Datenschutzgrundverordnung DSGVO wurde vor kurzem durch die Bayrische Datenschutzbehörde aufgelegt.
Im Rahmen des von der Rechtsabteilung der Datenschutzaufsichtsbehörden aus Bayern BayLDA initiierten Sicherheitsaudits wurden zufällig ausgewählte Unternehmen gebeten, Fragen zu den Sicherheitsanforderungen für die Nutzung ihrer E-Mail-Konten gemäß der Sicherheitsanforderungen im Umgang mit den E-Mail-Accounts nach Art. 32 DSGVO auszufüllen.

Hintergrund der Überprüfungsgründe – Massive Zunahme von Cyberangriffen auf E-Commerce Firmen

Grund für diese Überprüfung ist die massive Zunahme von Cyberangriffen auf Firmen-E-Mail-Konten in Bayern sowie bundesweit. Dies dient normalerweise zum Arbeiten mit vertraulichen E-Mail-Nachrichten, beispielsweise zum Verwalten von Finanztransaktionen. Es gibt auch tiefe Angriffe, die das Eindringen in die Netzwerkstruktur oder eine andere Verbreitung von Malware auf Zielsystemen ermöglichen (z. B. Kunde). Nach der Übernahme eines E-Mail-Kontos senden Cyberkriminelle häufig gefälschte E-Mails an alle Kontakte.

Der durch erfolgreiche Angriffe verursachte Schaden ist erheblich und wird manchmal als die größte Bedrohung für Unternehmen bezeichnet. Ursachen sind unsachgemäße Bedienung oder unsachgemäßer Schutz.
Laut BayLDA-Schreiben haben erfolgreiche Angriffe in der Regel zwei Ursachen:

Die Hauptursachen dieser Cyberangriffe sind oft bösartige Prozesse (z. aufgrund mangelnden Sicherheitsbewusstseins der Mitarbeiter) oder mangelnder Organisation und Sicherheit ihrer E-Mail-Konten. Risiken lassen sich laut BayLDA mit entsprechendem Aufwand reduzieren oder im Idealfall ganz eliminieren.

Leitfaden: Handreichung über Maßnahmenkatalog des BayLDA zum Sichern von E-Mail Konten

Der Leitfaden enthält Informationen zum Sichern von E-Mail-Konten
Daher beschränkt sich BayLDA nicht nur auf die Verifizierung der jeweiligen Unternehmen, sondern auch auf die Sicherheit von unterstützten und veröffentlichten E-Mail-Konten. Dieser Leitfaden enthält viele nützliche technische und organisatorische Schritte, die zum Schutz von E-Mail-Konten erforderlich sind. Konkret die Bereiche Anti-Phishing und Identitätsschutz, Passwortschutz und Zwei-Faktor-Authentifizierung sowie damit zusammenhängende Maßnahmen. Schützen und verwalten Sie sichere Konten.

Dieser Maßnahmenkatalog betrifft aufgrund seiner zentralen Bedeutung und seines hohen Risikos alle Unternehmen, nicht nur die befragten Unternehmen. Die Fragen, die sich bei der Arbeit mit E-Mail-Konten stellen, spezifizieren die Sicherheitsanforderungen gemäß diesem Artikel. Im Rahmen des Art. 32 DSGVO und entsprechender TOMs ist jeder für seine persönliche Einschätzung der Sicherheitsmaßnahmen selbst verantwortlich.

In besonderen Fällen sollten mühelos ein oder mehrere Vorschläge gemacht werden, um die Sicherheit privater E-Mail-Konten zu stärken.

LINK zu BayLDA Handreichung zum Prüfbogen Details zur Absicherung von E-Mail-Accounts – Schwerpunkt Phishing :    LDA Bayern Handreichung Prüfung E-Mail Sicherheit

Prüfverfahren 2:  Prüfung der BlnBDI und weiterer Landesbehörden auf Verträge zur Auftragsverarbeitung

Aktuelle Prüfung des BlnBDI und anderer öffentlicher Stellen zu Vereinbarungen zur Festlegung des Systems gem. Art. 28 von der Website aus dem Laden. Diese Kontrolle ist in der Regel für Unternehmen zur Prüfung von Unternehmen für Stichprobenvereinbarungen verfügbar. Art. 28 DSGVO.

Die Prüfung der BlnBDI und weiterer Landesbehörden bezieht sich auf die Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO, welche von verschiedenen Webhosting-Dienstleistern angeboten werden. Der Hintergrund dieser Kontrolle sind die regelmäßigen Anfragen an die BlnBDI von Unternehmen, welche die Dienstleistungen im Bereich Webhosting in Anspruch nehmen möchten sowie bei der Auswahl potentieller Dienstleister festgestellt haben, dass deren Musterverträge nicht den Anforderungen des Art. 28 DSGVO entsprechen.

Checkliste vom BlnBDI zur Prüfung von Auftragsverarbeitungsvertrag.

Während der gewählte Faktencheck auf große Webserver in Berlin beschränkt ist, lassen sich seine Grundsätze auf viele Unternehmen bundesweit anwenden, sowohl in der Rolle des Datenschutzbeauftragten als auch im Vertragsprozess. Laut Gesetz.
Aus diesem Grund hat der BlnBDI Bewertungen und Regelungen zwecks solcher Verträge, eine Checkliste und weitere Anwendungshinweise entwickelt und veröffentlicht:

„Erstmals gibt es mit der Checkliste einen Standard für die AVV-Prüfung, der auch in anderen Bereichen angewendet werden kann. Wir ermuntern alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Schließlich können hohe Bußgelder nicht nur gegen Verantwortliche verhängt werden, die IT-Dienstleister ohne ordnungsgemäßen AV-Vertrag einsetzen, sondern auch gegen die IT-Dienstleister selbst.“

Eine Präventionsprüfung ist außerdem unerlässlich.

Fazit: Mehrwert durch die zwei Prüfverfahren sowie Checklisten & Maßnahmenkatalog

Für Tests fallen zusätzliche Kosten an
Zwei Verwaltungsprüfverfahren behandeln wichtige datenschutzrechtliche Fragen. Es ist sehr interessant, dass BayLDA und BlnBDI dies zum Anlass nehmen, entsprechende Vorschläge für Standards, Dokumente und Aufzeichnungen zu veröffentlichen.

Hier ein Rückblick zum vorherigen Beitrag mit den ersten Informationen zum Thema:

Urteil OLG Frankfurt: Gewinnspiele gekoppelt mit Werbe-Einwilligung – Richtiger Umgang

Datenpanne – Wann Meldepflicht und wie Vorgehen