DSGVO Denial of Service Angriff

Der Gesetzgeber hat zum Schutz personenbezogener Daten neue Wege beschritten und unteranderem die Rechte sowie Pflichten im Kontext des Datenschutzes angepasst. Ein solcher Punkt ist das Auskunftsrecht der betroffenen Person in Artikel 15 der DSGVO. Es berechtigt die betroffene Person vom Verantwortlichen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang der Anfrage, eine Auskunft zu erhalten. Bei komplexen Fällen kann diese Frist etwas verlängert werden, aber die Auskunft ist zu erteilen. Kommt der Verantwortliche dieser Anfrage nicht fristgerecht nach, könnte die Involvierung der Aufsichtsbehörde durch den Betroffenen erfolgen. Diesen Schritt möchten sicherlich viele Verantwortliche vermeiden, da die finanziellen Konsequenzen im Kontext der DSGVO bei Verfehlungen beachtlich seien können. 

Doch wie ermöglicht dieses gut gemeinte Instrument einen Missbrauch?

Wenn Konzerne den Zorn von einem beträchtlichen Teil ihrer Kundschaft auf sich gezogen haben, könnten sich die Proteste bald nicht mehr nur auf Aufmärsche, Sitzblockaden und digitale Angriffe im Internet beschränken. Eine Masse von Auskunftsersuchen würden die meisten Datenschutzabteilungen von Unternehmen sicherlich schnell an Leistungsgrenzen bringen. Wenn keine automatischen Prozesse zur Bearbeitung und Beantwortung solcher Anfragen zur Verfügung stehen, wäre ein Bruch der Frist und die Einschaltung der Aufsichtsbehörde durch die Auskunftsersuchenden die Folge.

Wie kann man sich schützen?

Proaktivität auf Basis des Risikomanagements ist das Gebot der Stunde. Wenn ein Risiko sich aus diesem Szenario für den Verantwortlichen ergibt, sollte es erfasst, bewertet und mit Maßnahmen belegt werden. Automatische Prozesse zur Bearbeitung und Beantwortung sind sicherlich ein adäquates Mittel, aber auch eine proaktive Anfrage bei der Aufsichtsbehörde, wie man mit einer Welle von Anfragen verfahren darf, stellt einen möglichen Weg dar.

Hinweis: Die bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen. 


Beratung: B3S, KRITIS, § 8a BSIG, KritisV, IT-SiKat, ISO 27019, §11 1a EnWG, §11 1b EnWG, VAIT, ISO 27001, ISO 27002, VDA ISA, TISAX, IT-Sicherheitskatalog

ISMS Auf-
und Ausbau.

Audit: B3S, KRITIS, § 8a BSIG, KritisV, IT-SiKat, ISO 27019, §11 1a EnWG, §11 1b EnWG, VAIT, ISO 27001, ISO 27002, VDA ISA, TISAX, IT-Sicherheitskatalog

Durchführung von
internen Audits.

Audit: B3S, KRITIS, § 8a BSIG, KritisV, IT-SiKat, ISO 27019, §11 1a EnWG, §11 1b EnWG, VAIT, ISO 27001, ISO 27002, VDA ISA, TISAX, IT-Sicherheitskatalog

Durchführung von Zertifizierungsaudits.

KRITIS-Prüfung: B3S KRITIS, Ernährung, Ernährungsindustrie, Ernährungswirtschaft, Anlagen zur Steuerung und Bündelung, Gesundheitsversorgung im Krankenhaus, Pharma, Datacenter & Hosting

Durchführung von
KRITIS Prüfungen.

Termin prüfen: B3S, KRITIS, § 8a BSIG, KritisV, IT-SiKat, ISO 27019, §11 1a EnWG, §11 1b EnWG, VAIT, ISO 27001, ISO 27002, VDA ISA, TISAX, IT-Sicherheitskatalog


TISAX® und ENX® sind eingetragene Marken der ENX Association.