In Reportagen hört man immer wieder, wie Menschen auf Betrugsmaschen hereinfallen und dadurch große Geldsummen verlieren. Doch das Thema trifft nicht nur im privaten Bereich zu, sondern kann auch Mitarbeitern im Unternehmen passieren, denn die angewendeten Betrugsmaschen werden immer raffinierter.
Vishing
Beim so genannten Vishing (Kombination aus Voice und Phishing) gibt sich jemand als Person bzw. Unternehmen aus (Bsp. Experte, Mitarbeiter, Kundenunternehmen) und versucht im Gespräch Informationen über Passwörter, Geburtsdaten etc. zu erhalten. Ziel der Betrüger ist es dabei, sich Zugang zu den Daten des Unternehmens zu verschaffen für den anschließenden Datenklau.
Versierte Betrüger können durch das so genannte Caller ID Spoofing sogar den Eindruck vermitteln, von einer dem Angerufenen bereits bekannten Telefonnummer aus anzurufen. Den Betrügern gelingt es dadurch das Vertrauen der angerufenen Person zu gewinnen, um an die benötigten Informationen zu gelangen.
CEO-Fraud
Beim so genannten CEO Fraud gibt sich eine Person als Vorstandsmitglied, Geschäftsleitung oder anderen Führungsperson des eigenen Unternehmens aus. Per E-Mail oder Telefon sollen Mitarbeiter dazu bewegt werden, hohe Geldbeträge ins Ausland zu überweisen. Durch Informationen von der Homepage des Unternehmens sowie Social Media Inhalten erweckt der Betrüger den Anschein, über interne Informationen zu verfügen. Gepaart mit dem Anschein eines hohen Zeitdrucks kommen Mitarbeiter dem Zahlungswunsch schließlich nach.
Wie vermeidet man, dass Mitarbeiter auf den Betrug eingehen?
Oftmals wird die Wahrscheinlichkeit, auf diese oder ähnliche Betrugsmaschen hereinzufallen, von den Unternehmen als gering bewertet. In jedem Fall sind Unternehmen gut damit beraten, ihre Mitarbeiter regelmäßig hinsichtlich (aktueller) Betrugsmaschen zu sensibilisieren und Hilfestellungen in Form von Verhaltensweisen an die Hand zu geben (Bsp. keine Weitergabe von Passwörtern oder internen Informationen).
Zudem sind in die bestehenden Prozesse zum Zahlungsverkehr auch Kontrollmechanismen einzubauen, sodass der Betrug schnell erkannt wird und rechtzeitig gestoppt werden kann, sofern es notwendig werden sollte.
Laura Piater
Justiziarin
Consultant für Datenschutz
Europäischer Gerichtshof für Menschenrechte (EGMR) zur privaten Nutzung von Firmen-PCs
In seinem Urteil vom 22.02.2018 - 588/13 beschäftigte sich der EGMR mit der Frage, ob die Durchsuchung des dienstlichen Computers ein Eingriff in das Recht auf Privatleben nach Art. 8 EMRK des Arbeitnehmers ist. Ein Arbeitnehmer wurde in diesem Fall entlassen, weil bei einer Durchsuchung seines Computers in einem Laufwerk, das mit „Persönliche Daten“ gekennzeichnet war im Ordner „Zum Lachen“ pornografische Dateien gefunden hatte. Eine interne Unternehmensrichtlinie gestattete in begrenztem Umfang die private Nutzung, die privaten Dateien sollten dann als „privat“ gekennzeichnet werden.
Der EGMR stellte fest, dass der Arbeitgeber grundsätzlich Dateien verwenden darf, die nicht eindeutig als „private Dateien“ gekennzeichnet sind. Entscheidend ist also eine unmissverständliche Kennzeichnung als solche. Der Ordnername „Persönliche Daten“ dürfte hierfür nicht ausreichen, da dies auch Dokumente sein können, die der Mitarbeiter als persönlich behandelt, die jedoch nicht eindeutig auch privat sind. Außerdem dürfe der Arbeitnehmer nicht ein gesamtes (berufliches) Laufwerk für private Zwecke verwenden.
Als Arbeitgeber sollten Sie unbedingt die Nutzung der betrieblichen Arbeitsmittel und elektronischen Kommunikationsmedien durch Ihre Mitarbeiter genau regeln. Wir empfehlen in der Regel, die Privatnutzung von betrieblichen Arbeitsmitteln und elektronischen Kommunikationsmedien zu verbieten. Die Mitarbeiter müssen dann über das Privatnutzungsverbot einschließlich der Folgen bei Zuwiderhandlung informiert (z.B. als Passus im Arbeitsvertrag) und über die Aufrechterhaltung des Privatnutzungsverbots regelmäßig belehrt werden.
OLG München zum berechtigten Interesse
Das OLG München (Teilurteil vom 24.10.2018 – 3 U 1551/17) hat zum berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVO entschieden, dass bei der Abwägung der Interessen der betroffenen Person und des Verantwortlichen/Dritten eine weite Auslegung des berechtigten Interesses (unions-)grundrechtlich geboten ist. Dabei sind nicht nur rechtliche, sondern auch wirtschaftliche und ideelle Interessen zu berücksichtigen.
AG Diez zu Schadensersatz für unzulässigen Newsletter
Das AG Diez (Urteil vom 07.11.2018 – 8 C 130/18) hat sich mit der Frage beschäftigt, ob für einen unzulässigen Newsletterversand Schadensersatz an die betroffene Person zu zahlen ist.
In diesem Fall hatte der Beklagte am Tag des Inkrafttretens der DSGVO eine E-Mail versandt, mit der er die Einwilligung des Klägers für den Versand des Newsletters einholen wollte. Für den Kläger war dies ein Verstoß gegen die DSGVO und er forderte 500 Euro Schmerzensgeld. Das AG Diez lehnte dies mit der Begründung ab, dass der Verstoß gegen die DSGVO ohne Eintritt eines Schadens nicht zum Schadensersatz führt. Es müsse ein „spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen“.
Die Entscheidung lässt die Möglichkeit einer Bußgelderteilung durch die Aufsichtsbehörde unberührt. Auch wenn der betroffenen Person kein Schaden entstanden ist, liegt ein Verstoß gegen die DSGVO vor und die Aufsichtsbehörde kann ein entsprechendes Bußgeld erteilen. Denn auch die Einholung der Einwilligung ist schon als Werbemaßnahme zu sehen, selbst wenn in der E-Mail selbst noch keine Werbezusätze enthalten sind.
LAG Baden-Württemberg: Auskunftsrecht des Arbeitnehmers
Das LAG Baden-Württemberg hat im Urteil vom 20.12.2018 – 17 Sa 11/18 über den Umfang des Auskunftsrechts des Arbeitnehmers entschieden und das Auskunftsrecht der Arbeitnehmer gestärkt. Der Arbeitgeber muss demnach einem Arbeitnehmer umfassend Auskunft zu über ihn gesammelten Informationen geben. Dazu gehören Einsicht in die Personalakte, Informationen über interne Ermittlungen und nicht in der Personalakte gespeicherte Leistungs- und Verhaltensdaten (samt einer Kopie dieser Leistungs- und Verhaltensdaten gemäß Art. 15 Abs. 3 S. 1 DSGVO).
Der Arbeitgeber kann dies verweigern, wenn er ein Geheimhaltungsinteresse geltend macht. Er muss dieses konkret darlegen und darf sich nicht lediglich pauschal drauf berufen. Es ist eine Einzelabwägung zwischen dem konkreten Interesse des Arbeitnehmers an der Auskunftserteilung und dem betrieblichen Interesse des Arbeitgebers an der Auskunftsverweigerung bzw. an den berechtigten Interessen der Dritten erforderlich. Der Schutz von Informanten (sog. Whisteblowern) kann ein solches Geheimhaltungsinteresse darstellen.
Julia Eisenacher
Consultant für Datenschutz
Juristin (Univ.)