Macht eine Person ihre Betroffenenrechte geltend und wurde die Identität eindeutig geklärt, so bleibt dem Unternehmen 1 Monat Zeit, um die Anfrage entsprechend zu bedienen. Damit es gar nicht erst zur gerichtlichen Auseinandersetzung und Schadenersatzansprüchen kommt, sind hierbei unterschiedliche Vorgehensweisen zu berücksichtigen und Löschfristen zu beachten.

Das Domain Name System (DNS) ist praktisch das "Telefonbuch" des Internets. Sowie Sie Ihren Browser öffnen um eine Website anzusurfen (beispielsweise datenschutzzentrum.de), muss eine Verbindung zum jeweiligen Webserver, auf dem die Website eingetragen ist, hergestellt werden. Nach Ihrer Eingabe findet im Hintergrund praktisch eine technische Abfrage zur IP-Adresse des Webservers statt. Dies erfolgt über das DNS. Ohne das DNS kann die Webadresse nicht in die IP-Adresse umgewandelt und die Zuordnungen zwischen Webadresse und IP-Adresse vorgenommen werden. Das DNS nutzt hierbei bestimmte Server, die DNS-Server, um die "Telefonbuch-Dienste" für das Internet zu erbringen.

Werden diese Server nun blockiert oder mittels einer DDoS-Attacke gezielt überlastet, kann das DNS die IP-Adresse zu den Webadressen nicht mehr liefern. Die angesurfte Website ist somit nicht erreichbar. Gemäß der Datenschutzgrundverordnung (DSGVO) läge somit ein Verstoß wegen mangelnder Verfügbarkeit und Belastbarkeit (Art. 32 DSGVO − Sicherheit der Verarbeitung) vor. Manipulieren Hacker beispielsweise die DNS-Abfrage oder den DNS-Server so, dass falsche IP-Adressen zu den gewünschten Webadressen geliefert werden, liegt ein weiter Verstoß gegen die DSGVO vor, nämlich mangelnde Integrität. Dies hat darüber hinaus zur Folge, dass Angreifer durch die umgelenkten Websites gezieltes Phishing betreiben können. Schlussendlich können Angreifer durch die zentrale Stellung des DNS genau nachverfolgen, welche Webadresse ein bestimmtes Unternehmen aufruft. Diese Art des "Abhörens" von Datenverkehr im Internet stellt einen Verstoß gegen die DSGVO durch mangelnde Vertraulichkeit dar.

Oblivious DNS over HTTPS (ODoH) ergänzt die Verschlüsselung durch einen Proxy-Server-Ansatz. Praktisch wird ein weiterer "Partner" in den Nachrichtenfluss gebracht (Proxy-Server-Ansatz). Dieser Partner tritt nun gegenüber dem DNS-Server als Sender auf und verbirgt den eigentlichen Nutzer (also denjenigen, der die Webadresse in den Browser eingibt). Der Vorteil ist, dass der Proxy-Server zwar den echten Sender/Nutzer kennt, aber die DNS-Anfrage nicht lesen kann, da sie verschlüsselt ist. Der DNS-Server wiederum kann zwar die Anfrage entschlüsseln, sieht aber den echten Nutzer nicht.

Open-Source-Lösungen für Tests:

• https://github.com/cloudflare/odoh-client-rs/
• https://github.com/cloudflare/odoh-client-go/

Der Europäische Datenschutzausschuss hat am 18. Juni 2021 die Version 2.0 seiner Recommendations 01/2020 veröffentlicht. Den Empfehlungen des EDSA nach sind die EU-Standardvertragsklauseln um sogenannte "ergänzende Maßnahmen" zu erweitern.

• Version 1.0
• Version 2.0 bisher nur auf Englisch

Datenübermittlungen in sogenannte Drittstaaten (beispielsweise die USA) können seit dem EuGH Urteil vom 16. Juli 2020 (C-311/18) Beschluss 2016/1250 nicht mehr auf das EU-US Privacy Shield gestützt werden. Es muss geprüft werden, ob eine DSGVO konforme Datenübermittlung möglich ist. Hierzu muss das Unternehmen im Einzelfall prüfen, ob für den einzelnen Datenempfänger angenommen werden kann, dass er sich an die vertraglichen Pflichten aus den EU-Standardvertragsklauseln halten kann. Es bedarf zudem "Ergänzender Maßnahmen".

Wie bereits unter EU-Standardvertragsklauseln (besser bekannt unter dem Begriff "Standard Contractual Clauses" − SCC) beschrieben, reichen diese Vereinbarungen allein nicht mehr aus. Es bedarf sogenannter ergänzender Maßnahmen, um ein in der EU vorgeschriebenes Datenschutzniveau für die Verarbeitung personenbezogener Daten durch Übermittlung in unsichere Drittstaaten (beispielsweise USA) zu erreichen.

Nur wenn die Risikobeurteilung des Verantwortlichen zu dem Ergebnis führt, dass die durch den Auftragsverarbeiter getroffenen "ergänzenden Maßnahmen" grundsätzlich einem datenschutzkonformen Datentransfer entsprechen, darf der Transfer auch tatsächlich erfolgen!

Wie unter Datenübermittlung in Drittländer - TIA Risikobewertung beschrieben, nennt der ESDA in seiner Empfehlung 01/2020 einige Maßnahmenarten (technisch, vertraglich und organisatorisch) und mögliche konkrete Maßnahmen dazu. Es empfiehlt sich für Unternehmen grundsätzlich, einen Katalog mit geeigneten zusätzlichen Maßnahmen anzulegen. Auch ohne die genaue Rechtslage eines Empfängerlandes zu kennen, ist oft von vornherein klar, dass es nur mit zusätzlichen Maßnahmen einen datenschutzkonformen Datentransfer geben kann.

Klausel 14 der SCC enthält u. a. die Regelung, dass der Datenempfänger und der Datenexporteur eine sogenannte TIA durchzuführen haben. Die Klausel sieht zudem vor, dass die Parteien hierzu zusammenwirken.

Der Europäische Datenschutzausschuss (EDSA) hat ein paar Anknüpfungspunkte und Prüfschritte für eine TIA vorgelegt. Demnach kann es sinnvoll sein, die Rechtslage eines betroffenen Drittlandes grundsätzlich zu bewerten. Ergibt sich beispielsweise durch die Bewertung ein hohes Risiko für den Datentransfer, sind zusätzliche Prüfschritte im Rahmen einer Datentransfer-Folgenabschätzung, analog zur Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 Abs. 7 DSGVO, erforderlich.

Die DSGVO erlegt auch kleineren und mittleren Unternehmen ("KMU") weitreichende Dokumentations- und Nachweispflichtpflichten auf. Im Rahmen der Erfüllung dieser Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO müssen KMU verschiedene Bereiche berücksichtigen. Besonders hervorzuheben sind die sogenannten "Betroffenenrechte". Die Rechte ergeben sich aus den Art. 12 bis 22 der DSGVO.

Besonders im Fokus stehen die „Betroffenenrechte“. Seit Inkrafttreten der DSGVO verzeichnen die Gerichte inzwischen mehr Verfahren zu Schadensersatzansprüchen als Bußgeldverfahren von Aufsichtsbehörden, nicht zuletzt, weil sogenannte Legal Techs den Anspruch auf Schadenersatz als Geschäftsmodell erkannt haben. Die häufigsten Verstöße bei Schadensersatzfällen sind beispielsweise keine/oder verspätete Reaktion auf Betroffenenanfragen, unvollständige Auskunft/Löschung sowie eine unrechtmäßige Verarbeitung oder fehlende Benachrichtigung bei Datenschutzverletzungen.

Ransomware (durch die Verschlüsselung von Daten werden sogenannte Lösegelder erpresst) ist einer der erfolgreichsten Angriffsvektoren. Aber auch Phishing, Spoofing und sogenannte DDoS-Attacken haben an Glanz nicht verloren. Laut einer aktuellen Studie des Digitalverbands Bitkom entsteht der deutschen Wirtschaft ein Schaden noch nie dagewesenen Ausmaßes; beziffert wird der Schaden für 2020/2021 in astronomischer Höhe von mehr als 220 Milliarden Euro.

• Bitkom Studie "Angriffsziel deutsche Wirtschaft: mehr als 220 Milliarden Euro Schaden pro Jahr"

Einsatzgebiete für VPN gibt es viele. An Aufmerksamkeit gewinnt dieser Tunnel jedoch am häufigsten durch die aktuelle Ausweitung der Home-Office-Arbeitsplätze. VPNs bilden verschlüsselte „Tunnelverbindungen“ zwischen dem Endgerät und beispielsweise dem Server des Unternehmens. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) liefert einige Auswahlkriterien und Sicherheitshinweise für VPN-Dienste.

• Good Practice bei technischen und organisatorischen Maßnahmen, BayLDA
• Home-Office Regelungen, BayLDA
• Mobiles Arbeiten, BSI

Das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) regelt die Sicherheit der Verarbeitung nicht grundlegend. Jedoch bringt es für Unternehmen weitere achtenswerte Aufgaben mit sich, nicht zuletzt, weil flankierend das Telekommunikationsgesetz ein Relaunch erfährt und u. a. „Technische und organisatorische Schutzmaßnahmen“ hierzu regelt.

Das Datenschutzrecht fordert Präventionsmaßnahmen. Die vom Verantwortlichen getroffenen Anti-Ransomware-Maßnahmen sind unter Berücksichtigung von Art. 32 DSGVO (Sicherheit der Verarbeitung) vom DSB auf Wirksamkeit zu kontrollieren.