Bayerische Aufsichtsbehörde führt anlasslose Prüfungen bei Unternehmen bzgl. Maßnahmen gegen Ransomware durch

Aufsichtsbehörden

Nach eigenen Angaben hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine neue Stabstelle „Prüfverfahren des BayLDA“ gegründet.

Diese hat nun am 30.11.2021 gleich mit der Arbeit begonnen und wird voraussichtlich bis zum 21.12.2021 kleine und mittlere Unternehmen, kleinere Krankenhäuser, Schulen und Arztpraxen im Hinblick darauf kontrollieren, ob diese geeignete technische und organisatorische Maßnahmen i.S.d. Art. 32 DSGVO gegen Ransomware-Angriffe getroffen haben. Mehr Informationen zur Prüfaktion des BayLDA sind hier zu finden.

Die Unternehmen werden nach dem Zufallsprinzip ausgewählt.

Unternehmen werden angeschrieben

Die Unternehmen wurden bzw. werden aktuell angeschrieben und im Hinblick auf das verstärkte Aufkommen von Ransomware-Angriffe informiert.

Das Anschreiben findest du hier (PDF).

Die Unternehmen erhalten sodann einen Prüfbogen, den sie zurücksenden sollen.

Prüfbogen

Der Prüfbogen (PDF), den die Unternehmen zurücksenden sollen, ist in 5 kurze Abschnitte gegliedert:

  1. Systemlandschaft
  2. Patch Management
  3. Backup-Konzept
  4. Überprüfung des Datenverkehrs
  5. Awareness und Berechtigungen

Der Prüfbogen soll bis 22.12.2021 an das BayLDA zurückgesendet werden.

Vor-Ort-Kontrollen?

Nach Angaben des BayLDA kann es im Einzelfall auch zu Vor-Ort-Kontrollen kommen, um die Umsetzung der angegebenen Maßnahmen zu überprüfen. Ebenso könnten Dokumentationen und andere Unterlagen zu den abgefragten Themenschwerpunkten im weiteren Prüfverlauf angefordert werden, heißt es.

Weitere Informationen

Das BayLDA hat eine Handreichung (PDF) zur Beantwortung der Fragen veröffentlicht, die es den Unternehmen recht einfach ermöglichen sollte, die Fragen zu beantworten und ggf. auch schon weitere Maßnahmen zu treffen.

Außerdem gibt es noch eine allgemeine Information zum Thema Ransomware (PDF) vom BayLDA.

Die Frage aller Fragen – müssen Unternehmen die Fragen beantworten?

In dem Anschreiben, das auf der Website des BayLDA veröffentlicht ist, gibt es zwar eine „Aufforderung“, den Prüfbogen bis zur genannten Frist zurückzusenden.

Hinweis: In der ersten Fassung dieses Beitrages habe ich die Verwaltungsaktsqualität des Schreiben des BayLDA verneint. Am 02.12.2021 habe ich den Beitrag insoweit weiter konkretisiert.

Da das Anschreiben aber anscheinend nicht mit einer Rechtsbehelfsbelehrung versehen ist und auch ansonsten keine Konsequenzen für die Nichtabgabe angedroht werden, ist fraglich, ob es sich bei dem Schreiben um einen „Verwaltungsakt“ handelt. Käme man zu dem Ergebnis, dass es sich nicht um einen Verwaltungsakt handeln würde, dann wäre eine Antwort auf das Anschreiben zunächst nicht verpflichtend.

Dem Unternehmen stünde also frei, ob es der Aufforderung nachkommen oder nicht.

Ich tendiere im vorliegenden Fall dazu, dass es sich nicht um einen Verwaltungsakt handelt, da es sich eher um eine Vorbereitungsmaßnahme zu handeln scheint, der dem nach § 35 VwVfG erforderlichen Regelungscharakter fehlt.

Das kann man aber sicher auch anders sehen. So hat z.B. der Bundesfinanzhof bei einem Auskunftsschreiben der Finanzverwaltung in einem Einzelfall sehr wohl eine Verwaltungsaktsqualität anerkannt: „Ein die Außenprüfung vorbereitendes Vorlage- und Auskunftsverlangen kann ein Verwaltungsakt und damit Gegenstand einer zulässigen Anfechtungsklage sein.“ (BFH, Urteil vom 28.09.2011, Az.: VIII R 8/09)

Letztlich ist die Rechtslage hier wohl etwas unklar. Das BayLDA hätte sich selbst und den betroffenen Unternehmen einen Gefallen getan, die Anschreiben mit einer Rechtsbehelfsbelehrung zu versehen. Dann hätte man hier klar einen Verwaltungsakt erkennen können. So bleibt das Schreiben allerdings etwas unbestimmt. Und wenn der Regelungscharakter des Schreibens nicht klar erkennbar ist, dann gehen Unklarheiten grundsätzlich zulasten der Behörde, hier dem BayLDA.

Wie häufig ist es also ggf. auch eine taktisch-strategische Frage, ob hier geantwortet werden soll oder nicht. Wenn ein Unternehmen im Bereich Ransomware-Schutzmaßnahmen gut aufgestellt ist, kann man hier ggf. gut ein paar „Karma-Punkte“ bei der Aufsichtsbehörde sammeln.

Wenn man hier eher „blank“ ist, würde ich den Fokus vielleicht eher darauf setzen, meine Lücken im Bereich der Maßnahmen zügig zu schließen, statt mich mit dem Prüfbogen zu beschäftigen bzw. diesen dann beantworten.

Vorsicht: Eine Nichtantwort kann ggf. auch dazu motivieren, dass doch einmal ein Aufsichtsbehördenmitarbeiter an die Tür klopft. Das ist in Pandemiezeiten zwar eher unwahrscheinlich. Aber wer weiß…

Wenn du die Mitarbeiter:innen der Aufsichtsbehörde dann nicht hereinlassen möchtest, kann die Aufsichtsbehörde (per Verwaltungsakt) anordnen, dass der Zutritt durch Behördenbeschäftigte erfolgen und die Tür geöffnet werden kann und dass das Unternehmen die Anwesenheit der Behördenmitarbeiter:innen für die Dauer der Prüfung zu dulden hat.

Soweit solltest du es hier aber nicht kommen lassen. Der Ärger lohnt sich m.E. nicht.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.