Datenschutzaufsicht verschickt Fragebögen

Das neue Datenschutzrecht (DS-GVO) ab dem 25. Mai 2018

Time is running up Wecker
© lassedesignen / fotolia

Zum 25. Mai 2018 wird sich das Datenschutzrecht in der EU gravierend ändern. Dann tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) unterstützt Sie bei der Vorbereitung mit einem Selbstcheck für Ihre Website. Zudem verschickt es Fragebögen. Sie zeigen auf, mit welchen Prüfungen Sie als Unternehmer zu rechnen haben. Am besten machen Sie gleich den Datenschutz-Check in Ihrem Unternehmen!

Sichern Sie Ihre Website für die DSGV mit dem https Check ab!

Von Mai 2018 an greift die Datenschutz-Grundverordnung in vollem Umfang. Bei Datenschutz-Verstößen drohen Bußgelder in empfindlicher Größenordnung. Bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes können verhängt werden.

Der https-Check macht Ihre Website datenschutz-sicher!

Unternehmen können auf Wunsch ihre Website von den Fachleuten des Bayerischen Landesamts für Datenschutz BayLDA kostenlos prüfen lassen. Aber auch jeder User kann diesen Service nutzen und die Internetadresse eines bayerischen Unternehmens prüfen lassen. Dann erhält das betroffene Unternehmen als Betreiber der Website Post von der Datenschutzaufsicht und wird gebeten – sollten Mängel festgestellt worden sein –, diese zu beheben.

Was und wie wird beim https Check geprüft?

Beim Test zur Sicherung des Datenschutzes wird geprüft:

  • Gibt es eine ausreichende HTTPS-Verschlüsselung, um den Datentransfer zwischen dem Browser des Nutzers und dem Internet-Server des Anbieters abzusichern? Dies ist besonders für Onlineshops wichtig und für Webseiten, die Kontaktdaten und Zahlungsdaten erheben. Betroffen sind zudem Kontaktformulare.

Technische Prüfung:

  • Priore Verwendung von Perfect Forward Secrecy (PFS)
  • Kein Einsatz veralteter Verschlüsselungsprotokolle (SSL2, SSL3)
  • Zertifikate mit mindestens 2048-Bit Schlüssellänge
  • HTTP Strict Transport Security (HSTS) zur Eindämmung der Risiken von Man-in-the-Middle-Angriffen
  • Keine Verwendung von unsicheren Kryptoalgorithmen (z. B. RC4, SHA-1)
  • TLS 1.2 als Standardprotokoll
  • Keine Heartbleed-Lücke vorhanden
  • Keine selbstsignierten Zertifikate

Was passiert mit den Prüfergebnissen:

Werden Mängel beim Datenschutz festgestellt, erhält der Webseitenbetreiber per Post die Aufforderung, die Mängel innerhalb einer Frist zu beheben. Geschieht nichts, droht am Ende Bußgeld.

IHK-Tipp:

Machen Sie den Check zum Datenschutz Ihrer Website jetzt und nicht erst, wenn die Datenschutz-Grundverordnung gilt!

Machen Sie den Datenschutz-Check für Ihr Unternehmen gleich!

Die Fragebogen-Aktion der bayerischen Datenschutz-Aufsicht dient dem Zweck, die Unternehmen auf die Prüfungen vorzubereiten, die im nächsten Jahr auf Sie zukommen werden.

Sie wollen sich auf die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) vorbereiten? Arbeiten Sie den Fragenbogen zum Datenschutz in Ihrem Betrieb ab!

Damit wird geprüft, ob der Datenschutz in Ihrem Unternehmen den Anforderungen der EU gemäß organisiert ist. Dazu gehören:

  • Struktur und Verantwortlichkeit im Unternehmen: Gibt es eine Datenschutzleitlinie und wie sind die Verantwortlichkeiten für den Datenschutz geregelt?
  • Gibt es im Unternehmen einen Datenschutzbeauftragten?
  • Gibt es eine Übersicht über die Verarbeitung personenbezogener Daten in Ihrem Unternehmen?
  • Haben Sie Externe zur Verarbeitung (Auftragsverarbeiter) solcher Daten eingebunden und ist dies ordentlich dokumentiert? Sind Vereinbarungen mit den Dienstleistern abgeschlossen und dokumentiert?
  • Ist die Verarbeitung personenbezogener Daten transparent? Sind die Informationspflichten erfüllt und die Texte an die neuen Anforderungen der DS-GVO angepasst?
  • Für den Umgang mit Risiken: Haben Sie die Rechtmäßigkeit Ihrer Verarbeitung niedergelegt und liegen alle erforderlichen Einwilligungen vor?
  • Datenschutz-Folgenabschätzung: Haben Sie in Ihrem Unternehmen geklärt, ob eine Datenschutz-Folgenabschützung notwendig ist? Wenn ja, haben Sie bereits eine Methode dafür festgelegt?
  • Ist bei Datenschutzverletzungen in Ihrem Unternehmen sichergestellt, dass die Aufsichtsbehörde innerhalb von 72 Stunden darüber informiert wird?


Am 25. Mai 2018 wird nicht nur die EU-Datenschutz-Grundverordnung unmittelbar anwendbar werden, zusätzlich treten auch die Änderungen des Bundesdatenschutzgesetzes und weiterer nationaler und ggf. internationaler Regelungen in Kraft. Die IHK informiert über wesentliche Änderungen durch die neue Rechtslage, die Einfluss auf die unternehmensinternen Prozesse haben werden.

Da das neue Datenschutzrecht noch viele offene Fragen beinhaltet, an deren Lösung die Rechtsexperten aus Verwaltung, Unternehmen und Aufsichtsbehörden aktuell arbeiten, wird sich auch unsere Übersicht stetig fortentwickeln.