Betroffenenrechte

create_trigger

Macht eine Person ihre Betroffenenrechte geltend und wurde die Identität eindeutig geklärt, so bleibt dem Unternehmen 1 Monat Zeit, um die Anfrage entsprechend zu bedienen. Damit es gar nicht erst zur gerichtlichen Auseinandersetzung und Schadenersatzansprüchen kommt, sind hierbei unterschiedliche Vorgehensweisen zu berücksichtigen und Löschfristen zu beachten.

 

 

Besonders wichtig sind die Nachweise beim Schriftwechsel mit der betroffenen Person (beispielsweise eine Lesebestätigung bei elektronischem Austausch, oder ein Einschreiben mit Rückschein bei postalischer Auskunft).

 


create_content

Domain Name System (DNS)

create_trigger

Das Domain Name System (DNS) ist praktisch das "Telefonbuch" des Internets. Sowie Sie Ihren Browser öffnen um eine Website anzusurfen (beispielsweise datenschutzzentrum.de), muss eine Verbindung zum jeweiligen Webserver, auf dem die Website eingetragen ist, hergestellt werden. Nach Ihrer Eingabe findet im Hintergrund praktisch eine technische Abfrage zur IP-Adresse des Webservers statt. Dies erfolgt über das DNS. Ohne das DNS kann die Webadresse nicht in die IP-Adresse umgewandelt und die Zuordnungen zwischen Webadresse und IP-Adresse vorgenommen werden. Das DNS nutzt hierbei bestimmte Server, die DNS-Server, um die "Telefonbuch-Dienste" für das Internet zu erbringen.

 

Werden diese Server nun blockiert oder mittels einer DDoS-Attacke gezielt überlastet, kann das DNS die IP-Adresse zu den Webadressen nicht mehr liefern. Die angesurfte Website ist somit nicht erreichbar. Gemäß der Datenschutzgrundverordnung (DSGVO) läge somit ein Verstoß wegen mangelnder Verfügbarkeit und Belastbarkeit (Art. 32 DSGVO − Sicherheit der Verarbeitung) vor. Manipulieren Hacker beispielsweise die DNS-Abfrage oder den DNS-Server so, dass falsche IP-Adressen zu den gewünschten Webadressen geliefert werden, liegt ein weiter Verstoß gegen die DSGVO vor, nämlich mangelnde Integrität. Dies hat darüber hinaus zur Folge, dass Angreifer durch die umgelenkten Websites gezieltes Phishing betreiben können. Schlussendlich können Angreifer durch die zentrale Stellung des DNS genau nachverfolgen, welche Webadresse ein bestimmtes Unternehmen aufruft. Diese Art des "Abhörens" von Datenverkehr im Internet stellt einen Verstoß gegen die DSGVO durch mangelnde Vertraulichkeit dar.

 

Eine wesentliche Schwachstelle im Konzept der DNS ist, dass die Abfragen und Antworten im Klartext gesendet werden. Mehr Datenschutz gegen die Ausspähung im DNS bietet beispielsweise daher der neue Standard ODoH (Oblivious DNS over HTTPS).

 


create_content

Domain Name System (DNS) − Oblivious DNS over HTTPS (ODoH)

create_trigger

Oblivious DNS over HTTPS (ODoH) ergänzt die Verschlüsselung durch einen Proxy-Server-Ansatz. Praktisch wird ein weiterer "Partner" in den Nachrichtenfluss gebracht (Proxy-Server-Ansatz). Dieser Partner tritt nun gegenüber dem DNS-Server als Sender auf und verbirgt den eigentlichen Nutzer (also denjenigen, der die Webadresse in den Browser eingibt). Der Vorteil ist, dass der Proxy-Server zwar den echten Sender/Nutzer kennt, aber die DNS-Anfrage nicht lesen kann, da sie verschlüsselt ist. Der DNS-Server wiederum kann zwar die Anfrage entschlüsseln, sieht aber den echten Nutzer nicht.

 

 

Open-Source-Lösungen für Tests:

 

Eine entsprechende App, die die Datenströme absichern will, stellt beispielsweise Cloudflare für Windows-Nutzer zur Verfügung.


create_content

Datenübermittlung in Drittländer − Ergänzende Maßnahmen

create_trigger

Der Europäische Datenschutzausschuss hat am 18. Juni 2021 die Version 2.0 seiner Recommendations 01/2020 veröffentlicht. Den Empfehlungen des EDSA nach sind die EU-Standardvertragsklauseln um sogenannte "ergänzende Maßnahmen" zu erweitern.

 

Deutsche Aufsichtsbehörden kündigten bereits an, dass nach dem sogenannten "Schrems II"-Urteil geprüft werden soll, wie Unternehmen die Anforderungen des Europäischen Gerichtshofs umsetzen!

 


create_content

Datenübermittlung in Drittländer − EU-Standardvertragsklauseln

create_trigger

Datenübermittlungen in sogenannte Drittstaaten (beispielsweise die USA) können seit dem EuGH Urteil vom 16. Juli 2020 (C-311/18) Beschluss 2016/1250 nicht mehr auf das EU-US Privacy Shield gestützt werden. Es muss geprüft werden, ob eine DSGVO konforme Datenübermittlung möglich ist. Hierzu muss das Unternehmen im Einzelfall prüfen, ob für den einzelnen Datenempfänger angenommen werden kann, dass er sich an die vertraglichen Pflichten aus den EU-Standardvertragsklauseln halten kann. Es bedarf zudem "Ergänzender Maßnahmen".


create_content

Datenübermittlung in Drittländer − Transfer Impact Assessment (TIA)

create_trigger

Wie bereits unter EU-Standardvertragsklauseln (besser bekannt unter dem Begriff "Standard Contractual Clauses" − SCC) beschrieben, reichen diese Vereinbarungen allein nicht mehr aus. Es bedarf sogenannter ergänzender Maßnahmen, um ein in der EU vorgeschriebenes Datenschutzniveau für die Verarbeitung personenbezogener Daten durch Übermittlung in unsichere Drittstaaten (beispielsweise USA) zu erreichen.

 

Nur wenn die Risikobeurteilung des Verantwortlichen zu dem Ergebnis führt, dass die durch den Auftragsverarbeiter getroffenen "ergänzenden Maßnahmen" grundsätzlich einem datenschutzkonformen Datentransfer entsprechen, darf der Transfer auch tatsächlich erfolgen!


create_content

Datenübermittlung in Drittländer – Die „TIA-Klausel“ 14

create_trigger

Wie unter Datenübermittlung in Drittländer - TIA Risikobewertung beschrieben, nennt der ESDA in seiner Empfehlung 01/2020 einige Maßnahmenarten (technisch, vertraglich und organisatorisch) und mögliche konkrete Maßnahmen dazu. Es empfiehlt sich für Unternehmen grundsätzlich, einen Katalog mit geeigneten zusätzlichen Maßnahmen anzulegen. Auch ohne die genaue Rechtslage eines Empfängerlandes zu kennen, ist oft von vornherein klar, dass es nur mit zusätzlichen Maßnahmen einen datenschutzkonformen Datentransfer geben kann.

 

Klausel 14 der SCC enthält u. a. die Regelung, dass der Datenempfänger und der Datenexporteur eine sogenannte TIA durchzuführen haben. Die Klausel sieht zudem vor, dass die Parteien hierzu zusammenwirken.

 

Bitten Sie daher den Datenempfänger um seine Mithilfe.


create_content

Datenübermittlung in Drittländer − TIA-Risikobewertung

create_trigger

Der Europäische Datenschutzausschuss (EDSA) hat ein paar Anknüpfungspunkte und Prüfschritte für eine TIA vorgelegt. Demnach kann es sinnvoll sein, die Rechtslage eines betroffenen Drittlandes grundsätzlich zu bewerten. Ergibt sich beispielsweise durch die Bewertung ein hohes Risiko für den Datentransfer, sind zusätzliche Prüfschritte im Rahmen einer Datentransfer-Folgenabschätzung, analog zur Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 Abs. 7 DSGVO, erforderlich.

 

 

Unbedingt berücksichtigt werden sollte hierbei:

  1. Systematische Beschreibung des geplanten Datentransfers, zu welchem Zweck und gegebenenfalls aufgrund welcher berechtigten Interessen soll der Transfer erfolgen
  2. Prüfung und Bewertung der Notwendigkeit und Verhältnismäßigkeit des Datentransfers in Bezug zum verfolgten Zweck
  3. Prüfung und Bewertung der Datensensibilität (beispielsweise Datenkategorien gemäß Art. 9 DSGVO) und entstehender Risiken für die betroffene Person, deren Daten übermittelt werden sollen
  4. Beschreibung der zur Bewältigung der Risiken geplanter zusätzlicher Maßnahmen (technisch, vertraglich und organisatorisch)

 

Der EDSA hat für den Punkt 4. seine Empfehlung und Einordnung beschrieben. In welches Drittland grundsätzlich ein Datentransfer nicht datenschutzkonform erfolgen kann, skizziert die EDSA ebenfalls in seiner Empfehlung: Empfehlung zusätzlicher Maßnahmen der EDSA


create_content

Rechenschaftspflicht

create_trigger

Die DSGVO erlegt auch kleineren und mittleren Unternehmen ("KMU") weitreichende Dokumentations- und Nachweispflichtpflichten auf. Im Rahmen der Erfüllung dieser Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO müssen KMU verschiedene Bereiche berücksichtigen. Besonders hervorzuheben sind die sogenannten "Betroffenenrechte". Die Rechte ergeben sich aus den Art. 12 bis 22 der DSGVO.

Auch eine Betroffenenanfrage selbst ist intern zu dokumentieren! Die Aufbewahrungsfrist ergibt sich aus § 31 Ordnungswidrigkeitengesetz (OWiG) und beträgt drei Jahre. Zudem muss das Unternehmen die betroffene Person auf diese Frist hinweisen.

 


create_content

Schadensersatzansprüche

create_trigger

Besonders im Fokus stehen die „Betroffenenrechte“. Seit Inkrafttreten der DSGVO verzeichnen die Gerichte inzwischen mehr Verfahren zu Schadensersatzansprüchen als Bußgeldverfahren von Aufsichtsbehörden, nicht zuletzt, weil sogenannte Legal Techs den Anspruch auf Schadenersatz als Geschäftsmodell erkannt haben. Die häufigsten Verstöße bei Schadensersatzfällen sind beispielsweise keine/oder verspätete Reaktion auf Betroffenenanfragen, unvollständige Auskunft/Löschung sowie eine unrechtmäßige Verarbeitung oder fehlende Benachrichtigung bei Datenschutzverletzungen.


create_content

Schäden durch Cyberangriffe

create_trigger

Ransomware (durch die Verschlüsselung von Daten werden sogenannte Lösegelder erpresst) ist einer der erfolgreichsten Angriffsvektoren. Aber auch Phishing, Spoofing und sogenannte DDoS-Attacken haben an Glanz nicht verloren. Laut einer aktuellen Studie des Digitalverbands Bitkom entsteht der deutschen Wirtschaft ein Schaden noch nie dagewesenen Ausmaßes; beziffert wird der Schaden für 2020/2021 in astronomischer Höhe von mehr als 220 Milliarden Euro.


create_content

Virtual Private Networks (VPN)

create_trigger

Einsatzgebiete für VPN gibt es viele. An Aufmerksamkeit gewinnt dieser Tunnel jedoch am häufigsten durch die aktuelle Ausweitung der Home-Office-Arbeitsplätze. VPNs bilden verschlüsselte „Tunnelverbindungen“ zwischen dem Endgerät und beispielsweise dem Server des Unternehmens. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) liefert einige Auswahlkriterien und Sicherheitshinweise für VPN-Dienste.

 

 è Service Level Agreements (SLAs) mit dem VPN-Dienstleister nicht vergessen.

 è Außerdem nie die Zugangsdaten speichern!

 


create_content

Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG)

create_trigger

Das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) regelt die Sicherheit der Verarbeitung nicht grundlegend. Jedoch bringt es für Unternehmen weitere achtenswerte Aufgaben mit sich, nicht zuletzt, weil flankierend das Telekommunikationsgesetz ein Relaunch erfährt und u. a. „Technische und organisatorische Schutzmaßnahmen“ hierzu regelt.

Das TTDSG zwingt Unternehmen folgende drei Punkte zusätzlich bei der Verarbeitung zu prüfen:

  1. Findet die Verarbeitung im Bereich Telekommunikation statt?
  2. Falls ja, gilt § 165 ff. TKG (Ausnahme ist die „geschäftsmäßige Telekommunikation“ − dann gelten Art. 32, 33 und 34 DSGVO).
  3. Falls nein, gelten „nur“ die zuvor genannten Artikel der DSGVO.

Insgesamt ist hier die Frage der Privatnutzung von Beschäftigten eines Unternehmens maßgeblich und hat praktische Auswirkungen auf die Verantwortung des Unternehmers!


create_content

Notfallmanagement − Ransomware-Prävention

create_trigger

Das Datenschutzrecht fordert Präventionsmaßnahmen. Die vom Verantwortlichen getroffenen Anti-Ransomware-Maßnahmen sind unter Berücksichtigung von Art. 32 DSGVO (Sicherheit der Verarbeitung) vom DSB auf Wirksamkeit zu kontrollieren.


create_content