Neue BfDI,neue Phishing-E-Mails, Cyberangriffe im September und vieles mehr...


DATENSCHUTZ

Neue BfDI Prof. Dr. Louisa Specht-Riemenschneider tritt Amt an

 

Die im Mai gewählte neue Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Louisa Specht-Riemenschneider trat am 3. September 2024 die Nachfolge von Ulrich Kelber in Bonn an. In einer Pressemitteilung betonte die neue Behördenleiterin, dass sie sich für einen Datenschutz einsetzen möchte, der klare rote Linien aufzeigt, aber zugleich auch unterhalb dieser roten Linien konstruktive Lösungen im Rahmen des Möglichen bieten soll. Während ihrer Amtszeit stehen vor allem drei gesellschaftlich relevante und zukunftsorientierte Themen im Fokus: Gesundheit, Künstliche Intelligenz und Sicherheit.

 
INFORMATIONSSICHERHEIT

Täuschend echte Phishing-E-Mails im Umlauf

Aktuell sind mehrere Phishing-Kampagnen im Umlauf. Die Malware 'Voldemort' nimmt Unternehmen quer durch alle Branchen ins Visier. In den letzten Wochen wurden unzählige dieser betrügerischen E-Mails versendet. Die Empfänger werden dabei mit falschen Informationen zu Änderungen in der Steuererklärung von offiziellen Steuerbehörden in die Falle gelockt. Außerdem nutzt die Malware geltende Google-Dienste, um Schutzmechanismen zu umgehen. Das Ziel dieser Kampagne scheint Spionage zu sein.

Des weiteren werden Internetnutzer mit Phishing-E-Mails, die im Namen des BSI verschickt werden, geködert. Das BSI warnte in einem LinkedIn-Post explizit vor dem Täuschungsversuch und wies darauf hin, nicht auf den in der E-Mail enthaltenen Link 'Antivirus-Schutz jetzt aktivieren' zu klicken. Die E-Mail wirkt mit dem Betreff 'Ihre Sicherheit steht auf dem Spiel', einem relativ logischen, fehlerfreien Text sowie einem vermeintlich vertrauenswürdigen Absender täuschend echt.

Wir unterstützen Sie auch gerne bei Sensibilisierungsmaßnahmen der Belegschaft!

 

DATENSCHUTZ

Neue Cookie-Banner Verordnung

Die Bundesregierung hat am 02.09.2024 die „Verordnung nach § 26 Abs. 2 TDDDG und zur Änderung der Besonderen Gebührenordnung Telekommunikation“ erlassen. In der Praxis spricht man hierbei auch von der sog. „Cookie-Banner Verordnung“.

Zweck dieser Regelung soll es sein, Internetnutzern mittels sog. anerkannter Dienste eine alternative zu Cookie-Bannern anzubieten. So soll eine über den Dienst untersagte Einwilligung für ein Cookie, unmittelbar auf allen Webseiten gelten, ohne das jeweils eine Ablehnung im Rahmen des jeweiligen Cookie-Banner erforderlich ist.

Ausgangspunkt dieser Verordnung ist wie bereits erkennbar der § 26 TDDDG. Dieser besagt in Absatz 1, dass eine unabhängige Stelle Dienste anerkennen kann, welche u.a. nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung aus § 25 TDDDG anbieten.

Ob diese Rechtsverordnung eine tatsächliche Lösung für den Umgang hinsichtlich der Cookie-Banner Flut im Internet bietet, wird erheblich bezweifelt.

So ist festzustellen, dass die Verordnung ausschließlich nur in Deutschland Anwendung findet und demnach im EU-Ausland die Cookie-Banner weiterhin bestehen bleiben werden.

Auch kann nach § 18 Abs. 1 dieser Verordnung ein Anbieter Digitaler Dienste (bspw. Webseitenbetreiber) freiwillig entscheiden, ob er einen derartigen Dienst auf seiner Webseite einbinden möchte.

Sollten Sie weitere Fragen zu der Cookie-Banner Verordnung haben, kontaktieren Sie uns gerne!

 

DATENSCHUTZ

Fristlose Kündigung nach Weiterleitung dienstlicher E-Mails an privates E-Mail-Postfach

In einem aktuellen Urteil des OLG München (Az. 7 U 351/23 e) wurde entschieden, dass die Weiterleitung dienstlicher E-Mails an ein privates E-Mail-Postfach einen Verstoß gegen die DSGVO darstellt und eine außerordentliche Kündigung rechtfertigen kann. In dem zugrundeliegenden Fall hatte ein Arbeitnehmer über einen längeren Zeitraum dienstliche E-Mails an ein privates Postfach übermittelt. Der Arbeitgeber erfuhr davon und kündigte das Arbeitsverhältnis außerordentlich.  

Das OLG München entschied, dass die Kündigung des Arbeitnehmers rechtens sei. Die wiederholte und systematische Verletzung von datenschutzrechtlichen Vorgaben wie der DSGVO stellt einen schwerwiegenden Vertrauensbruch dar, der das Arbeitsverhältnis unzumutbar macht. Das Gericht stellte heraus, dass der betroffene Arbeitnehmer seine Pflicht zur Vertraulichkeit und den Schutz der ihm anvertrauten Daten schwer verletzt hat.

Aus dieser Entscheidung lassen sich nützliche Lehren ableiten. Verantwortliche Stellen sollten klare Richtlinien in Bezug auf die Vertraulichkeit sensibler Daten veröffentlichen und diese im Rahmen des Schulungskonzeptes an die Mitarbeitenden vermitteln.

 

DATENSCHUTZ

Zusendung von in E-Mail-Signaturen enthaltener Werbung ist rechtswidrig!

Die Platzierung von Werbung in der Signatur von Firmen-E-Mails ist eine häufige Strategie von Unternehmen, um ihre Produkte oder Dienstleistungen ins Licht zu rücken. Doch Vorsicht ist geboten: Auch wenn in der E-Mail-Nachricht selbst keine Werbung enthalten ist, gehen Unternehmen Risiken ein, wenn Sie werbende Elemente in ihrer E-Mail-Signatur haben. Hierzu gab es immer wieder Gerichtsentscheidungen (so z. B. KG Berlin mit Urteil vom 15.09.2021, Az. 5 U 35/20 unter Berufung auf ein Urteil des BGH vom 10.07.2018, Az. VI ZR 225/17.

Als werbende Elemente gelten hierbei gemäß Artikel 2 der EU-Richtlinie 2006/114/EG nicht nur unmittelbar produktbezogene Elemente, sondern auch mittelbar wirkende Elemente, die dazu dienen, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern. Liegt jedoch keine vorherige Einwilligung des E-Mail-Empfängers vor, handelt es sich um unerlaubte Werbung (unzumutbare Belästigung) im Sinne von § 7 Absatz 2 (2) UWG.

Nur, wenn die in § 7 Absatz 3 UWG explizit benannten Umstände (wie etwa Bestandskundenstatus) gegeben sind, kann eine solche Werbung zulässig sein. Ist das nicht der Fall, sollten Unternehmen sicherstellen, dass die jeweiligen E-Mail-Empfänger eine vorherige Einwilligung für den Erhalt solcher Werbung erteilt haben, wenn Sie keine Abmahnungen und Unterlassungsklagen vor Gerichten riskieren wollen.

 

INFORMATIONSSICHERHEIT

Gesetzgebungsprozess des NIS2UmsuCG nimmt Fahrt auf

In den letzten Monaten hat der Umsetzungsprozess von NIS-2 ins deutsche Recht deutlich an Dynamik gewonnen. Seit geraumer Zeit wird der 17. Oktober 2024 als Stichtag für die Umsetzung der erforderlichen Maßnahmen genannt. Dieses Stichdatum rückt nun in greifbare Nähe, aber das Gesetz wurde bisher noch nicht verkündet. Es zeichnet sich ab, dass sich das Inkrafttreten wohl vermutlich ins Frühjahr 2025 verschieben wird. Vor der Sommerpause hat das Kabinett den Referentenentwurf verabschiedet und eine endgültige Fassung des Gesetzesentwurfs erstellt. Dieser muss nun den Bundestag passieren. Experten gehen angesichts der sich wiederholenden Lesungen und üblichen Durchgänge davon aus, dass ein Inkrafttreten des NIS2UmsuCG im März 2025 realistisch ist.

Trotz der Verschiebung ist es ratsam, sich bereits jetzt intensiv mit den Anforderungen der Richtlinie auseinanderzusetzen und frühzeitig mit den Vorbereitungen zu beginnen.

 

DATENSCHUTZ

Nützliche Informationsquelle zur KI-Verordnung

Die KI-Verordnung wirkt sich auf alle Anbieter oder Nutzer von KI-Systemen aus. Es ist dabei unabhängig, ob sich der Sitz der Einrichtung in der EU befindet. Die KI-Verordnung entfaltet Ihre Wirksamkeit, sobald das Produkt oder die Anwendung in der EU eingesetzt bzw. angeboten wird.

Verantwortliche Stellen sollten deshalb großen Wert darauflegen, die Anforderungen der neuen Verordnung zu kennen. Als zentrale Wissensquelle inklusive FAQ und Checklisten empfehlen wir Ihnen den umfangreichen Ratgeber von Rechtsanwalt Thomas Schwenke, der in seinem Beitrag die wichtigsten Regelungen, Anwendungsbereiche und Ausnahmen der KI-Verordnung detailliert aufbereitet hat.

 

INFORMATIONSSICHERHEIT

Cyberangriffe im September

Cyberangriffe führten im letzten Jahr zu Versicherungsschäden in Höhe von 180 Millionen Euro. Laut dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) ist das ein Anstieg von rund 50 Prozent zum Vorjahr. Nicht nur die Zahl der Angriffe hat deutlich zugenommen, sondern auch deren Schadensausmaß. Im Durchschnitt beläuft sich ein Cyberschaden auf etwa 45.370 Euro. Vor allem im Mittelstand sind oft gravierende IT-Sicherheitslücken erkennbar. Bedenken Sie daher: Ein Mangel an grundlegenden Sicherheitsstandards erschwert die Gewährung eines Versicherungsschutzes!

In der Nacht auf Sonntag, den 1. September, wurde ein Cyberangriff auf die Wertachkliniken Bobingen & Schwabmünchen in der Nähe von Augsburg verübt. Bemerkt wurde die Attacke aufgrund weitreichender IT-Störungen. Die Kliniken arbeiteten im analogen, eingeschränkten Betrieb weiter. Bei rund 30 Patienten mussten geplante Operationen verschoben werden. Noch ist unklar, ob sensible Daten abgegriffen werden konnten.

Der bayerische Musiksender Radio Geretsried teilte Mitte des Monats auf seiner Webseite in einer Eilmeldung mit, dass es Angreifern gelungen sei, sämtliche Musikdaten ihres Senders zu verschlüsseln. Aufgrund dieser Attacke lief bei dem Radiosender eine Zeit lang nur ein Notband. Mitarbeitende versuchten noch Musiklisten und andere Daten zu retten. Wahrscheinlich führt kein Weg daran vorbei, alle Systeme neu aufzusetzen. Ein mühsames und zeitintensives Unterfangen.

Im September wurden Datenlecks bei der Kreditvermittlung der konkurrierenden Vergleichsportale Check24 und Verivox aufgedeckt. Zeitweise waren Darlehensverträge mit Einkommensauskunft und weitere heikle Daten im Internet öffentlich zugänglich und konnten heruntergeladen werden. Nachdem der Chaos Computer Club beide Unternehmen über diesen unprofessionellen Umgang mit Daten informiert hat, wurden die Lücken umgehend geschlossen. Es ist unklar, wie lange das Datenleck bestand.

WIR UNTERSTÜTZEN SIE GERNE

 

Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

05423  96490-60

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Bitte addieren Sie 6 und 2.

Copyright 2025. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung