Aktuelles - Seite 2 - DS-Quadrat

Derzeit kursieren im Namen der netcup GmbH E-Mails mit der Überschrift "Ihre Rechnung (R.Nr. nc-4413316)".

Darin wird beschrieben, dass die eigene Domain abgelaufen sei und nun zur Verlängerung bereitstünde. Eine Verlängerung müsse zeitnah durchgeführt werden, um die eigene Webseite und E-Mails ohne Unterbrechungen zu nutzen. Dabei könne man direkt über einen Link zum netcup Customer Control Panel gelangen. Um noch mehr Sicherheit durch eine Zwei-Faktor-Authentifizierung zu erlangen oder ein SEPA-Mandat einzurichten, gibt es in der E-Mail zwei weitere Links.

Betrachtet man nun die E-Mail-Adresse, mit der diese E-Mail versendet wurde, stellt man fest:

Das Wort "support" ist falsch geschrieben
Die E-Mail-Adresse endet auf .cfd
Second-Level-Domain ist "remnaoamaber"

Das Unternehmen gibt auf seiner offiziellen Webseite jedoch eine ganz andere Top-Level bzw. Second-Level-Domain an. Ein Blick in alte E-Mails, falls netcup Ihr Vertragspartner ist, oder die offizielle Webseite geben Aufschluss über die Richtigkeit der Daten.

Sollten auch Sie solch eine Phishing E-Mail erhalten haben:

löschen Sie diese bitte umgehend und
geben Sie keine nutzerbezogenen Daten an
Klicken Sie nicht auf die angegebenen Links

Wenn Verantwortliche in Krankenhäusern, Arztpraxen oder auch ambulanten medizinischen Einrichtungen wie einer Psycho- oder Logopädie Videoüberwachungsanlagen betreiben möchten ist dies nur erlaubt, wenn die Videoüberwachung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht schwerer wiegen.

Die Erforderlichkeit ist dann gegeben, wenn keine milderen Maßnahmen ergriffen werden können und wenn der Verantwortliche belegen kann, dass ein Szenario, welches mit der Videoüberwachung verhindert werden soll, bereits vorher einmal eingetreten ist.

Auch das Anbringen von Hinweisschildern auf eine Videoüberwachung allein führt nicht dazu, dass eine illegale Videoüberwachung legal wird.

Videoüberwachungen in medizinischen Einrichtungen können nur im besonderen Ausnahmefall erfolgen- Dies ist beispielsweise der Fall, wenn eine besonders hohe, über dem allgemeinen Lebensrisiko liegende Gefahr für die Begehung von Straftaten besteht und alle milderen Mittel vorher ausgeschöpft wurden (z.B.. Schließfächer, manuell zu betätigende Türöffner für die Praxis,).

Werden Mitarbeiterbereiche bewacht gelten zudem nochmal besondere Vorschriften. Eine dauerhafte Videoüberwachung der Arbeitsplätze oder Bereiche, in denen sich Beschäftigte über längere Zeit aufhalten, ist generell unzulässig. Ebenso eine Videoüberwachung zum Zwecke der Verhaltens- und Leistungskontrolle. Eine Vorbeugung von Straftaten durch Beschäftigte darf auch nicht durch eine Videoüberwachung erfolgen. Dies bedarf eines konkreten Anhaltspunktes und darf nur zeitlich und personenbegrenzt erfolgen, wenn gleich effektiven Maßnahmen zuvor erfolglos eingesetzt wurden und eine Abwägung zwischen den widerstreitenden Interessen durchgeführt wurde.

Auf absehbare Zeit kommt offenbar niemand mehr an ihr vorbei: Künstliche Intelligenz (KI) und die mit ihr verbundenen Chancen sind das Thema dieser Zeit. Schon seit längerem beobachten wir eine immer schnellere Entwicklung in IT-Technologien. Insbesondere im Bereich der aktuellen noch relativ einfachen Sprach-KI-Modelle sehen wir gerade eine rasante Entwicklung, die dazu führt, dass die Analyse der damit einhergehenden Risiken nicht mithalten kann. Daher ist es Zeit, einmal einen kurzen Blick auf das Risikopotential zu werfen und dieses vor dem Einsatz abzuwägen.

Die gegenwärtig angebotenen relativ einfachen Sprach-KI-Modelle werden je nach Einsatzzweck mit Informationen aus dem Internet und ggf. weiteren Quellen aufgebaut. Aus diesen Informationen entstehen die „Produkte“ dieser KI-Modelle. Das bedeutet, dass diese Systeme nicht wirklich selbst schöpferisch tätig sind, sondern vorhandenes Wissen und vorhandene Werke verwenden. Und hier wird es knifflig: Die verwendeten Informationen und Werke können Rechten unterworfen sein, über die uns die KI-Modelle nichts mitteilen.

Welche Rechte kann der Einsatz von KI verletzen?

In erster Linie handelt es sich hierbei um Urheber- und Persönlichkeitsrechte. Je nach verwendeter Datenbasis können auch Geschäftsgeheimnisse oder einer gesetzlichen Verschwiegenheitspflicht unterliegende Informationen betroffen sein. Nun stellt sich die Frage, wer hier den Verstoß begeht, wenn derartig rechtlich geschützte Informationen dem Ergebnis der KI zugrunde liegen. Bisher wird davon ausgegangen, dass Verstöße dem Verwender zugerechnet werden müssen. Die KI – bzw. deren Entwickler – trägt also keine Verantwortung dafür. Wenn also durch die KI beispielsweise Fotos, Grafiken, Musikstücke oder Texte erstellt werden, müsste der Verwender prüfen, ob derartige Rechte daran bestehen. Dies ist momentan kaum möglich, da die KI ja keine Angaben zu den verwendeten Informationen beifügt. Aus diesem Grund haben sich im Moment zahlreiche Unternehmen und Organisationen gegen eine Verwendung dieser Systeme entschieden.

Es kommt auf den Anwendungsfall an

In „geschlossenen Systemen“ – also für einen konkreten internen Zweck und ohne Zugriff auf andere als die selbst bereitgestellten Daten aus dem Unternehmen – werden einfache KI-Systeme bereits seit einigen Jahren für die Lösung zahlreicher Aufgaben erprobt. Meist geht es dabei um Mustererkennung und eine sichere und schnelle Bearbeitung von Formularen, Bildern oder Texten, etc. Aber auch in diesem Fall ist zu beachten, dass bei Verwendung personenbezogener Daten (z.B. Fotos) die Persönlichkeitsrechte beachtet werden müssen. Das bedeutet, dass die datenschutzrechtlichen Anforderungen wie bei jedem anderen System zu erfüllen sind.

Die größte Herausforderung dürfte hier darin bestehen, dass die Anwender zunächst selbst das notwendige Verständnis für die Verarbeitungsschritte der KI erwerben müssen – obwohl die Hersteller diese Informationen nicht bereitstellen. Erst dann wären die Anwender in der Lage, die Transparenzpflichten der DSGVO gegenüber betroffenen Personen und Aufsichtsbehörden überhaupt erfüllen zu können.

Auch Sicherheitslücken und Angriffe auf Unternehmen mittels KI denkbar!

Auch Sicherheitslücken sind durch diese KI-Systeme denkbar. So kann der Schutz der Unternehmensdaten ggf. nicht gewährleistet werden, wenn eine solche KI einen Zugriff auf das Unternehmensnetz hat. Und ob eine KI nur bereitgestellt wird, um solche Zugriffe möglich zu machen oder Firmengeheimnisse auszuspähen, kann im Zweifel auch nur ein Cyber-Security Experte feststellen. Die Sicherheitslücke oder die Haftung bspw. für einen Urheberrechtsverstoß treffen das Unternehmen.

Das sind die Gründe, weshalb zahlreiche Unternehmen hier zunächst ein Verbot des Einsatzes dieser KI-Anwendungen ausgesprochen haben, bis hier die notwendigen sicheren Standards entwickelt worden sind. Es empfehlen sich daher klare Regelungen zum Einsatz von KI-Systemen, wie diese auch für jedes andere System gelten, zu treffen. Der gegenwärtige Hype sollte nicht zu Sicherheitslücken oder Haftungsrisiken führen.

Wie wird die Website genutzt? Werden bestimmte Inhalte vom Nutzer wahrgenommen? Wie lange bleibt der Nutzer auf der Website? Wird ein voller Warenkorb im Webshop zurückgelassen? Zur Beobachtung des Nutzerverhaltens auf einer Website können verschiedene Tools eingesetzt werden, die hilfreich sind, um diese und andere Fragen zu beantworten. Häufig werden dafür Standardtools von großen Anbietern aus Drittstaaten verwendet, welche die Daten möglicherweise auch dort verarbeiten und für andere Zwecke nutzen. Die Risiken, die mit einer solch ungewollten Datenverarbeitung einhergehen, sind immens. Werden frühzeitig datenschutzfreundliche Einstellungen für die Tools zu Grunde gelegt sowie notwendige Verarbeitungen festgelegt, kann zumeist eine geeignetere Alternative gefunden werden.
Aber nicht nur die mögliche Preisgabe der Geschäftsprozesse oder gar -geheimnisse ist geschäftsschädigend, auch kann fehlende Datenschutzkonformität das Nutzervertrauen negativ beeinflussen und von Aufsichtsbehörden sanktioniert werden.
Produktbeschreibungen wie bspw. „Cookie-less Tracking“ können dazu verleiten die Datenschutzkonformität vorschnell als gegeben anzusehen. Dies ist aber leider nicht immer der Fall. Einige Tools nutzen/akzeptieren zwar keine Third-Party-Cookies; First-Party-Cookies und andere Methoden der Datensammlung werden jedoch schon verwendet. Falls fälschlicherweise davon ausgegangen wird, dass keine Cookies gesetzt werden, führt dies zum Verstoß gegen die DSGVO.

Bei Datenverarbeitungen auf Websites ist grundsätzlich die DSGVO zu berücksichtigen. Neben der Erstellung der datenschutzrechtlich vorgegebenen Dokumentationen, sind die Informationspflichten für Nutzer/Kunden zu erfüllen und die Datenschutzerklärung richtig aufzusetzen. Bei der Überprüfung der Webseiten ist insbesondere auf das Setzen von Cookies mit oder ohne Einwilligung zu achten und deren Speicherdauer zu prüfen. Es sind sowohl ihre Zwecke als auch deren Notwendigkeit zu kontrollieren. Auch die Serversicherheit, durch Verschlüsselung und Softwareaktualität und selbstverständlich sollte die Zulässigkeit der Datenübermittlung in Drittstaaten überprüft werden.

Erhält ein Unternehmen Briefsendungen auf denen „nur“ die Abteilung vermerkt ist, können die Briefe bedenkenlos geöffnet werden.

Wenn neben dem Firmennamen auch ein Mitarbeitername genannt ist, dient dies lediglich dazu, die interne Verteilung zu erleichtern. Eine Postsendung, die im Empfängerfeld mit dem Namen des Unternehmens und dem Namen des Mitarbeiters gekennzeichnet ist, darf vom Arbeitgeber geöffnet werden. Im Urlaubs- oder Krankheitsfall darf ein solcher Brief auch direkt an die Vertretung weitergeleitet und dort geöffnet werden.

Sobald auf dem Umschlag neben dem Namen des Adressaten also zusätzlich der Hinweis „vertraulich“, „persönlich“, „privat“ oder „ausschließlich“ versehen ist, darf nur der Empfänger selbst den Brief öffnen und lesen.

Gleiches gilt für Postsendungen, die an die/den Datenschutzbeauftrage/n adressiert sind. Auch wenn die Postsendung z.B. nur den Hinweis „Datenschutz“ enthält, sollte dieser vorsichtshalber nur vom Datenschutzbeauftragen geöffnet werden.

Öffnen Sie dennoch eine solche Sendung, liegt ein Verstoß gegen das Briefgeheimnis vor. In einem solchen Fall, drohen Ihnen strafrechtliche Konsequenzen (§ 202 StGB). Verstöße gegen das Postgeheimnis können gemäß § 206 StGB mit einer Geld- oder Freiheitsstrafe geahndet werden. Das Postgeheimnis gilt auch innerhalb unseres Unternehmens. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort.

Verarbeitet ein Mitarbeiter, ohne Veranlassung des Arbeitgebers, personenbezogene Daten (z.B. Abfragen von Daten aus Datenbank) stellt dies eine unrechtmäßige Verarbeitung dar. Der Mitarbeiter kann dafür als Verantwortlicher angesehen werden, wenn er den Datenschutzverstoß bewusst und gewollt ohne aufgabenbezogene Veranlassung begangen hat. Hier spricht man von einem sogenannten Mitarbeiterexzess. Der Mitarbeiter entzieht sich der Leitung und Aufsicht seiner Vorgesetzten und entscheidet allein über Zwecke und Mittel der Verarbeitung.

Personenbezogene Daten dürfen nicht einfach nur interessehalber abgerufen oder angeschaut werden. In dem Falle der letztlich vor dem OLG Stuttgart behandelt wurde, wurde gegen den Mitarbeiter nicht nur ein Bußgeld verhängt. Eine solche Pflichtverletzung kann auch arbeitsrechtliche Konsequenzen nach sich ziehen.

Derzeit erhalten Unternehmen E-Mails die angeblich von der Industrie- und Handelskammer (IHK) stammen. In dieser Mail wird das Unternehmen aufgefordert, die Unternehmensdaten bei den deutschen Industrie- und Handelskammern umgehend zu aktualisieren. Andernfalls drohten eine Vertragskündigung mit der IHK.

Bitte klicken Sie keinesfalls auf den Link "Daten aktualisieren", und geben Sie erst recht auf der Zielseite keine Daten ein. Diese Mail stammt nicht aus der IHK-Organisation und sollte umgehend gelöscht werden.

Der Europäische Datenschutzausschuss (EDSA) führt koordinierte Prüfaktionen durch. Dazu werden europaweit von den Aufsichtsbehörden ein abgestimmter Fragebogen zu einem bestimmten Thema an öffentliche und private Stellen verschickt.

Die nächste Aktion zum Thema "Recht auf Löschung" startete am 05.03.2025.

An der Aktion nehmen die Landesdatenschutzaufsichtsbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz sowie die Bundesbeauftragte teil.

Mit dem Fragebogen wollen sie erfahren, wie das Recht auf Löschung von den Unternehmen und Behörden praktisch umgesetzt wird. Das Recht auf Löschung (Art. 17 DSGVO) ist eines der am häufigsten ausgeübten Betroffenenrechte und eines, über das bei den Datenschutzaufsichtsbehörden zahlreiche Beschwerden eingehen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Bericht über „Die Lage der IT-Sicherheit in Deutschland 2024“ veröffentlicht. Den BSI-Lagebericht finden Sie unter https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Mit dem Bericht informiert der BSI jährlich über die Bedrohungslage im Cyberraum.

Werden bei einem Cyberangriff beispielsweise personenbezogenen Daten gestohlen, handelt es sich um einen Datenschutzvorfall. Ist die Sache schwerwiegend, könnte dies einen Vorfall darstellen, der nach Art. 33 DSGVO an die zuständige Datenschutzaufsichtsbehörde zu melden ist.

Dann könnten Sie auch verpflichtet sein, Betroffene gem. Art. 24 DSGVO zu informieren. Dies verursacht regelmäßig Image- und Umsatzprobleme beim Unternehmen.

Mithilfe des Berichts können Sie Schwachstellen in Ihrem Unternehmen ausfindig machen und Gegenmaßnahmen treffen, um Schäden möglichst gering zu halten.

Phishing

Im Januar diesen Jahres wurden E-Mails versendet, in der Verbraucher aufgefordert wurden Ihre "photoTAN-App" zu aktualisieren. Angeblich ist dieser Vorgang erforderlich, um die Funktionen der App weiterhin nutzen zu können. Für die Aktualisierung wird eine Frist von 48 Stunden vorgegeben, ansonsten werde die Nutzung der App „Funktionsstörungen“ aufweisen.

Hierbei handelt es sich um Phishing und sollte unbedingt unbeantwortet in den Spam-Ordner verschoben werden! Wenn Apps aktualisiert werden müssen, geschieht dies über die Stores, von denen sie installiert wurden (z.B. App Store, Play Store). Suchen Sie nur dort nach einem Update!

Phishing können Sie insbesondere an folgenden Kriterien erkennen:

unpersönliche Anrede,
Verlinkung innerhalb der E-Mail,
unseriöse Absenderadresse,
kurze Fristsetzung,
Drohung

Phishing-Unterarten

Smishing¹ – Betrug per SMS

Quishing² – Betrug per QR-Code

Vishing³ – Phishing am Telefon (via voice)

Smishing
Kunstwort “Smishing” setzt sich aus den Begriffen SMS und Fishing zusammen
Derzeit erhalten Verbraucher SMS von angeblichen Paketdiensten in denen es um die Zustellung eines Pakets geht. In der SMS ist ein Link enthalten, auf den Sie klicken sollen. Sofern Sie den Link anklicken, könnten jedoch schädliche Anwendungen und SMS auf Ihr Telefon installiert werden, Massen-SMS versendet werden, persönliche Daten erschlichen und Geld abgezockt werden oder Sie in Abofallen locken.
Haben Sie versehentlich den Link in der Nachricht angetippt, erlauben Sie keine Installation einer neuen App! ↩︎
Quishing
Kunstwort “Quishing” setzt sich aus den Begriffen QR-Code und Fishing zusammen
In der Stadt Hannover wurden an mehreren Parkautomaten Aufkleber mit QR-Codes beklebt, die vorgeben, vom Bezahlanbieter easypark zu sein. Dabei wurden originale Hinweisschilder des Anbieters überklebt. Die gefälschten Aufkleber auf Anhieb zu erkennen ist schwer. Meist gelingt dies nur, wenn diese schief aufgeklebt wurden oder andere Schriftfelder sichtbar überklebt wurden.
Scannt man diesen QR Code, führt dieser zu einer Webseite (easypark.live.), auf der man zunächst aufgefordert wird, die passende Parkzone zu wählen und die Parkzeit zu bestimmen. Wenn es an die Bezahlung geht, wird die Eingabe der Kreditkartendaten gefordert. Dies führt dazu, dass die Täter Kreditkartendaten der Verbraucher abgreifen und für missbräuchliche Zwecke einsetzen können.
Der „echte“ Anbieter verweist nicht auf eine Webseite, sondern fordert die Bezahlung für die auf dem Schild angegebene Höchstparkdauer in einer App an.
Zudem sollten Kurzlinks nach dem Scannen des Codes genau geprüft werden. ↩︎
Vishing
Kunstwort “Vishing” setzt sich aus den Begriffen Voice und Fishing zusammen
Die Opfer werden telefonisch von einem Mitarbeiter einer Bank angerufen. IN dem Gespräch erklärt der Bankmitarbeiter, dass es auf dem Konto des Opfers unberechtigte Abhebeversuche mit einer kopierten Girocard beziehungsweise EC-Karte gegeben hat oder der Bank eine Überweisung für das Ausland vorläge.
Dem Opfer wird erzählt, dass sein Konto gesperrt wurde und man nun die originale Bankkatze und PIN benötige. Noch während des Gesprächs erscheint ein angekündigter Bote der angeblichen Bank und lässt sich die Karte aushändigen.
Die Betrüger tätigen umgehend eine Verfügung mit der erhaltenen Bankkarte.
Wichtig zu wissen ist, dass kein Bankinstitut oder eine Behörde am Telefon persönlichen Informationen insbesondere Kontodaten, Bankleitzahlen oder Kreditkartennummern erfragt. ↩︎