Macht eine Person ihre Betroffenenrechte geltend und wurde die Identität eindeutig geklärt, so bleibt dem Unternehmen 1 Monat Zeit, um die Anfrage entsprechend zu bedienen. Damit es gar nicht erst zur gerichtlichen Auseinandersetzung und Schadenersatzansprüchen kommt, sind hierbei unterschiedliche Vorgehensweisen zu berücksichtigen und Löschfristen zu beachten.
Besonders wichtig sind die Nachweise beim Schriftwechsel mit der betroffenen Person (beispielsweise eine Lesebestätigung bei elektronischem Austausch, oder ein Einschreiben bei postalischer Auskunft).
Das Domain Name System (DNS) ist eine Art "Telefonbuch" des Internets und übersetzt Domainbezeichnungen in genau zugeordnete IP-Adressen.
Möchte man eine Internetseite wie beispielsweise datenschutzzentrum.de, google.com oder mds.legal aufrufen, wird zunächst eine Anfrage an den Internet Service Provider (ISP) gestartet. Als Dienstleister sorgt der ISP dafür, dass eine Verbindung vom anfragenden Endgerät mit dem Internet hergestellt wird. Nicht immer kann gewährleistet werden, dass der ISP auch den gewünschten Dienst innerhalb seines eigenen Netzwerkes und Infrastruktur beheimatet hat. Es gibt daher einen Zusammenschluss verschiedener ISPs (Internet Exchange Providers „IXP“). Ruft man nun über den Browser die Web-Domain, in unserem Beispiel mds.legal auf, erfolgt über den eigenen Provider eine Weiterleitung zum gemeinsam genutzten IXP und von dort aus erreicht man praktisch die Zieladresse. Damit die Kommunikation über das Internet gewährleistet bzw. das gewünschte Ziel erreicht werden kann, gibt es Protokolle (Border Gateway Protocol „BGP“) und Systeme wie das Domain Name System „DNS“. BGP kümmert sich um den Datenstrom (Sicherstellung der besten Route von A nach B) und DNS um die Übersetzung der Domainbezeichnung (IP-Adresse).
Das DNS nutzt bestimmte Server, die DNS-Server, um die "Telefonbuch-Dienste" für das Internet zu erbringen. Werden diese Server nun blockiert oder mittels einer DDoS-Attacke gezielt überlastet, kann das DNS die IP-Adresse zu den Webadressen nicht mehr liefern. Die angesurfte Website ist somit nicht erreichbar. Gemäß der Datenschutzgrundverordnung (DSGVO) läge somit ein Verstoß wegen mangelnder Verfügbarkeit und Belastbarkeit (Art. 32 DSGVO − Sicherheit der Verarbeitung) vor. Manipulieren Hacker beispielsweise die DNS-Abfrage oder den DNS-Server so, dass falsche IP-Adressen zu den gewünschten Webadressen geliefert werden, liegt ein weiter Verstoß gegen die DSGVO vor, nämlich mangelnde Integrität. Dies hat darüber hinaus zur Folge, dass Angreifer durch die umgelenkten Websites gezieltes Phishing betreiben können. Schlussendlich können Angreifer durch die zentrale Stellung des DNS genau nachverfolgen, welche Webadresse ein bestimmtes Unternehmen aufruft. Diese Art des "Abhörens" von Datenverkehr im Internet stellt einen Verstoß gegen die DSGVO durch mangelnde Vertraulichkeit dar.
Eine wesentliche Schwachstelle im Konzept der DNS ist, dass die Abfragen und Antworten im Klartext gesendet werden. Mehr Datenschutz gegen die Ausspähung im DNS bietet beispielsweise daher der neue Standard ODoH (Oblivious DNS over HTTPS).
Oblivious DNS over HTTPS (ODoH) ergänzt die Verschlüsselung durch einen Proxy-Server-Ansatz. Praktisch wird ein weiterer "Partner" in den Nachrichtenfluss gebracht (Proxy-Server-Ansatz). Dieser Partner tritt nun gegenüber dem DNS-Server als Sender auf und verbirgt den eigentlichen Nutzer (also denjenigen, der die Webadresse in den Browser eingibt). Der Vorteil ist, dass der Proxy-Server zwar den echten Sender/Nutzer kennt, aber die DNS-Anfrage nicht lesen kann, da sie verschlüsselt ist. Der DNS-Server wiederum kann zwar die Anfrage entschlüsseln, sieht aber den echten Nutzer nicht.
Open-Source-Lösungen für Tests:
Eine entsprechende App, die die Datenströme absichern will, stellt beispielsweise Cloudflare für Windows-Nutzer zur Verfügung.
Die DSGVO erlegt auch kleineren und mittleren Unternehmen ("KMU") weitreichende Dokumentations- und Nachweispflichtpflichten auf. Im Rahmen der Erfüllung dieser Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO müssen KMU verschiedene Bereiche berücksichtigen. Besonders hervorzuheben sind die sogenannten "Betroffenenrechte". Die Rechte ergeben sich aus den Art. 12 bis 22 der DSGVO.
Auch eine Betroffenenanfrage selbst ist intern zu dokumentieren! Die Aufbewahrungsfrist ergibt sich aus § 31 Ordnungswidrigkeitengesetz (OWiG) und beträgt drei Jahre. Zudem muss das Unternehmen die betroffene Person auf diese Frist hinweisen.
Besonders im Fokus stehen die „Betroffenenrechte“. Seit Inkrafttreten der DSGVO verzeichnen die Gerichte inzwischen mehr Verfahren zu Schadensersatzansprüchen als Bußgeldverfahren von Aufsichtsbehörden, nicht zuletzt, weil sogenannte Legal Techs den Anspruch auf Schadenersatz als Geschäftsmodell erkannt haben. Die häufigsten Verstöße bei Schadensersatzfällen sind beispielsweise keine/oder verspätete Reaktion auf Betroffenenanfragen, unvollständige Auskunft/Löschung sowie eine unrechtmäßige Verarbeitung oder fehlende Benachrichtigung bei Datenschutzverletzungen.
Ransomware (durch die Verschlüsselung von Daten werden sogenannte Lösegelder erpresst) ist einer der erfolgreichsten Angriffsvektoren. Aber auch Phishing, Spoofing und sogenannte DDoS-Attacken haben an Glanz nicht verloren. Laut einer aktuellen Studie des Digitalverbands Bitkom entsteht der deutschen Wirtschaft ein Schaden noch nie dagewesenen Ausmaßes; beziffert wird der Schaden für 2020/2021 in astronomischer Höhe von mehr als 220 Milliarden Euro.
Einsatzgebiete für VPN gibt es viele. An Aufmerksamkeit gewinnt dieser Tunnel jedoch am häufigsten durch die aktuelle Ausweitung der Home-Office-Arbeitsplätze. VPNs bilden verschlüsselte „Tunnelverbindungen“ zwischen dem Endgerät und beispielsweise dem Server des Unternehmens. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) liefert einige Auswahlkriterien und Sicherheitshinweise für VPN-Dienste.
è Service Level Agreements (SLAs) mit dem VPN-Dienstleister nicht vergessen.
è Außerdem nie die Zugangsdaten speichern!
Das Datenschutzrecht fordert Präventionsmaßnahmen. Die vom Verantwortlichen getroffenen Anti-Ransomware-Maßnahmen sind unter Berücksichtigung von Art. 32 DSGVO (Sicherheit der Verarbeitung) vom DSB auf Wirksamkeit zu kontrollieren.