Derzeit erhalten Unternehmen E-Mails die angeblich von der Industrie- und Handelskammer (IHK) stammen. In dieser Mail wird das Unternehmen aufgefordert, die Unternehmensdaten bei den deutschen Industrie- und Handelskammern umgehend zu aktualisieren. Andernfalls drohten eine Vertragskündigung mit der IHK.
Bitte klicken Sie keinesfalls auf den Link "Daten aktualisieren", und geben Sie erst recht auf der Zielseite keine Daten ein. Diese Mail stammt nicht aus der IHK-Organisation und sollte umgehend gelöscht werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Bericht über „Die Lage der IT-Sicherheit in Deutschland 2024“ veröffentlicht. Den BSI-Lagebericht finden Sie unter https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
Mit dem Bericht informiert der BSI jährlich über die Bedrohungslage im Cyberraum.
Werden bei einem Cyberangriff beispielsweise personenbezogenen Daten gestohlen, handelt es sich um einen Datenschutzvorfall. Ist die Sache schwerwiegend, könnte dies einen Vorfall darstellen, der nach Art. 33 DSGVO an die zuständige Datenschutzaufsichtsbehörde zu melden ist.
Dann könnten Sie auch verpflichtet sein, Betroffene gem. Art. 24 DSGVO zu informieren. Dies verursacht regelmäßig Image- und Umsatzprobleme beim Unternehmen.
Mithilfe des Berichts können Sie Schwachstellen in Ihrem Unternehmen ausfindig machen und Gegenmaßnahmen treffen, um Schäden möglichst gering zu halten.
Phishing
Im Januar diesen Jahres wurden E-Mails versendet, in der Verbraucher aufgefordert wurden Ihre "photoTAN-App" zu aktualisieren. Angeblich ist dieser Vorgang erforderlich, um die Funktionen der App weiterhin nutzen zu können. Für die Aktualisierung wird eine Frist von 48 Stunden vorgegeben, ansonsten werde die Nutzung der App „Funktionsstörungen“ aufweisen.
Hierbei handelt es sich um Phishing und sollte unbedingt unbeantwortet in den Spam-Ordner verschoben werden! Wenn Apps aktualisiert werden müssen, geschieht dies über die Stores, von denen sie installiert wurden (z.B. App Store, Play Store). Suchen Sie nur dort nach einem Update!
Phishing können Sie insbesondere an folgenden Kriterien erkennen:
Phishing-Unterarten
Ab dem 15.01.2025 erhält jeder Versicherte ohne sein Zutun eine elektronische Patientenakte (ePA). Wer keine initiale Einrichtung der ePA möchte, muss dem widersprechen. Der Widerspruch muss gegenüber der jeweiligen Krankenkasse abgegeben werden, bei der der Patient versichert ist. Der Widerspruch kann vollumfänglich erfolgen oder einzelne Funktionen betreffen.
Die ePA ist eine patientengeführte Akte, in der Patienten ihre gesundheitsbezogenen Daten speichern und verwalten können. Der Patient entscheidet, welche Daten in der ePA gespeichert und wieder gelöscht werden, und sie entscheiden, wer Zugriff auf welche Daten erhält. Darüber hinaus können Versicherte eigene Dokumente und Daten in der ePA stellen. Die ePA ermöglicht den Austausch von Daten des Patienten zwischen den an seiner Behandlung beteiligten Leistungserbringern.
Zugriff auf die ePA kann der Versicherte durch das Einstecken seiner Gesundheitskarte im eHealth-Kartenterminal des Leistungserbringers, über die ePA-App der jeweiligen Krankenkasse oder mittels GesundheitsID erteilen.
Datenschutzrechtlich ist an der ePA zu kritisieren, dass keine aktive Einwilligung in die Erstellung und Verwendung erfolgen muss, wie es die Datenschutzgrundverordnung grundsätzlich fordert. Um Zugriffsmöglichkeiten auf die ePA einzuschränken, müssen Versicherte ePA-App nutzen. Alternativ können sich Versicherte an die Ombudsstelle bei der Krankenkasse werden, was viel aufwändiger ist. Dem Einstellen von Behandlungsdaten müssen Versicherte dann zudem wiederum gegenüber den behandelnden Ärzt*innen oder anderen Gesundheitsdienstleistern widersprechen. Die ePA birgt ein erhöhtes Risiko für die besonders schützenswerten Gesundheitsdaten. Der Zugang zu diesen Daten liegt im Interesse diverser Angreifer. Die Telematikinfrastruktur, die von der gematik GmbH betrieben wird, weist laut Sicherheitsexperten noch gravierende Schwachstellen auf.
Seit dem 1. Januar 2025 ist bei Umsätzen zwischen inländischen Unternehmern regelmäßig eine elektronische Rechnung (E‑Rechnung) zu verwenden. E-Rechnungen für Beträge ab 250 Euro müssen die Unternehmen dann annehmen und verarbeiten können. Wenn ein Vertragspartner darauf besteht, muss ein Unternehmen in der Lage sein, diesem eine E-Rechnung zu stellen. Dies gilt nicht für Rechnungen an private Endverbraucher.
Spätestens ab 2028 müssen Gewerbetreibende und Selbstständige prinzipiell nur noch E-Rechnungen ausstellen und verarbeiten. Unternehmen mit mehr als 800.000 Euro Jahresumsatz bereits ab 2027.
Verwendet werden muss ein strukturiertes XML-Format. Die Daten können so automatisiert ausgelesen und zugeordnet werden können.
Den Übertragungsweg einer E-Rechnung legt das Gesetz nicht verbindlich fest. Diese können also weiterhin per E-Mail versendet werden. Die Rechnungssteller sollten dabei eine dedizierte Mailadresse wie rechnung[at]unternehmen.de verwenden. Der Vorteil der E-Rechnung aus datenschutzrechtlicher Sicht ist die vereinfachte Aufbewahrung und spätere Löschung der Rechnungen. Für die Versendung kommen auch Uploads auf speziellen Rechnungsportalen in Frage.
Als Unternehmer müssen Sie jede E-Rechnung vor der Buchung technisch sowie inhaltlich validieren: die technische Validierung beinhaltet die Überprüfung der formalen Struktur der Rechnung, und die inhaltliche Validierung die Überprüfung der Daten der Rechnung auf Richtigkeit.
Unternehmen und Selbstständige müssen ihre Buchhaltung und sämtliche elektronisch eingegangenen Rechnungen korrekt dokumentieren und archivieren. Gemäß der GoBD soll die Archivierung revisionssicher und unveränderbar sein.
Es gibt keine Vorgabe für das zu verwendende E-Rechnungs-Tool. Es können die Angebote der zahlreichen Softwarehersteller genutzt werden. Hier muss zuvor geprüft werden, ob diese den Datenschutzstandards entsprechen. Wer zur Bearbeitung und Archivierung der E-Rechnungen eine Cloud, statt einem Server im eigenen Haus nutzt, sollte auch diese Anwendung hinsichtlich der Sicherheit und Datenschutzkonformität überprüfen. Empfehlenswert sind solche Anbieter, deren Rechenzentren und Hosting in Deutschland stattfinden.
Um die Datenschutzkonformität zu gewährleisten, sollten Unternehmen weiterhin insbesondere darauf achten, dass die übermittelten Rechnungen verschlüsselt werden. Zudem sind eine sichere Speicherung und Zugriffsverwaltung der Daten erforderlich sowie die Erstellung regelmäßiger Backups. Unternehmen sollten nur die notwendigsten Informationen, wie z. B. die E-Mail-Adresse des Empfängers, erheben und regelmäßige Schulungen durchführen, um die Mitarbeiter für Datenschutzthemen zu sensibilisieren.
Das Vierte Bürokratieentlastungsgesetz tritt am 01.01.2025 in Kraft. Dies führt zu Änderungen in verschiedenen Gesetzen, wie u.a. dem Handelsgesetzbuch, der Abgabenordnung, dem Umsatzsteuergesetz oder dem Bürgerlichen Gesetzbuch. Datenschutzrechtlich hat dies Einfluss auf gewisse Aufbewahrungsfristen und Formvorschriften. Die neuen Regelungen, insbesondere die Löschfristen, sind in Systemen und Richtlinien zu ändern.
Die neue KI-Verordnung beinhaltet eine Pflicht der Betreiber und Anbieter von KI-Systemen, ihre Beschäftigten zu schulen. Diese Pflicht besteht unabhängig vom Risiko der KI-Systems bereits ab dem 02.02.2025. Schulungen zur KI-Kompetenz sind in das bestehende Schulungskonzept mit aufzunehmen und Mitarbeiter zu schulen.
Cyberkriminalität hat viele Gesichter. Vermehrt gehen Angreifer dazu über, Mitarbeiter über verschiedene Kommunikationswege zu täuschen und zu manipulieren, um dadurch Schwachstellen zu schaffen und ein bestimmtes Verhalten der Mitarbeiter zu erreichen.
Beim E-Mail-Phishing versuchen die Angreifer beispielsweise mit gefakten Mails Anmeldedaten, Kreditkartennummern oder vertrauliche Unternehmensinformationen zu stehlen und den Computer des Opfers mit Malware zu infizieren.
Bei Deepfakes werden gezielt Persönlichkeitsmerkmale des Opfers ausgenutzt, um dieses zu manipulieren. Es werden mit Künstlicher Intelligenz (KI) manipulierte Ton- und Videoaufnahmen z.B. des Vorgesetzten erstellt und die Angst vor oder Vertrauen in den Vorgesetzten genutzt, um vertrauliche Informationen preiszugeben.
Es gibt verschiedene Tipps, wie sie E-Mail-Phishing und Deepfakes verhindern können. Sprechen Sie uns gerne an.
Die Digitalisierung sollte man strategisch angehen. Ihr ds²-Berater unterstützt Sie bereits bei der Planungsphase und zeigt Ihnen Prozesse zur Einführung neuer digitaler Systeme auf, um sämtliche datenschutzrechtliche Aspekte zu berücksichtigen und damit eine erfolgreiche Digitalisierung in Ihrem Unternehmen zu erzielen. Jede neue oder geänderte Verarbeitungstätigkeit wird aus Datenschutzsicht nach bestimmten Phasen abgearbeitet. Voran steht die Beschreibung der Verarbeitungstätigkeit, insbesondere einer Beschreibung der personenbezogenen Daten die verarbeitet werden sollen sowie den Zweck, zu welchem die Verarbeitung erfolgt. Die Verarbeitung kann beispielsweise das Abspeichern von Vertragsdaten einer Person, die Lohnbuchhaltung oder die Datenübermittlung an Dienstleister sein. Hinzukommen die Erstellung von Risikoanalysen und ggfs. Datenschutzfolgenabschätzungen, Informationspflichten, Einwilligungen oder beispielsweise Betriebsvereinbarungen.
Digitalisierung bedeutet Veränderung. Ein Change Management kann dabei helfen, die Veränderung anzugehen. Es sind Teams aus Verantwortlichen und Anwendern zu bilden. Durch den Einsatz digitaler Systeme bzw. Technologien verändert sich auch die Arbeitswelt Ihrer Mitarbeiter/innen. Sie sind durch Vermittlung von Fachwissen auf die Digitalisierung vorzubereiten.