DSGVO Denial of Service Angriff

Der Gesetzgeber hat zum Schutz personenbezogener Daten neue Wege beschritten und unteranderem die Rechte sowie Pflichten im Kontext des Datenschutzes angepasst. Ein solcher Punkt ist das Auskunftsrecht der betroffenen Person in Artikel 15 der DSGVO. Es berechtigt die betroffene Person vom Verantwortlichen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang der Anfrage, eine Auskunft zu erhalten. Bei komplexen Fällen kann diese Frist etwas verlängert werden, aber die Auskunft ist zu erteilen. Kommt der Verantwortliche dieser Anfrage nicht fristgerecht nach, könnte die Involvierung der Aufsichtsbehörde durch den Betroffenen erfolgen. Diesen Schritt möchten sicherlich viele Verantwortliche vermeiden, da die finanziellen Konsequenzen im Kontext der DSGVO bei Verfehlungen beachtlich seien können. 

Doch wie ermöglicht dieses gut gemeinte Instrument einen Missbrauch?

Wenn Konzerne den Zorn von einem beträchtlichen Teil ihrer Kundschaft auf sich gezogen haben, könnten sich die Proteste bald nicht mehr nur auf Aufmärsche, Sitzblockaden und digitale Angriffe im Internet beschränken. Eine Masse von Auskunftsersuchen würden die meisten Datenschutzabteilungen von Unternehmen sicherlich schnell an Leistungsgrenzen bringen. Wenn keine automatischen Prozesse zur Bearbeitung und Beantwortung solcher Anfragen zur Verfügung stehen, wäre ein Bruch der Frist und die Einschaltung der Aufsichtsbehörde durch die Auskunftsersuchenden die Folge.

Wie kann man sich schützen?

Proaktivität auf Basis des Risikomanagements ist das Gebot der Stunde. Wenn ein Risiko sich aus diesem Szenario für den Verantwortlichen ergibt, sollte es erfasst, bewertet und mit Maßnahmen belegt werden. Automatische Prozesse zur Bearbeitung und Beantwortung sind sicherlich ein adäquates Mittel, aber auch eine proaktive Anfrage bei der Aufsichtsbehörde, wie man mit einer Welle von Anfragen verfahren darf, stellt einen möglichen Weg dar.