Phishing-Mails können gerade im geschäftlichen Alltag großen Schaden anrichten und spielen auch im Datenschutz eine große Rolle.
Woran Sie sofort erkennen, ob es sich um ein Original oder um Betrug handelt, wollen wir Ihnen mit dem folgenden Blogbeitrag näherbringen:
In der Regel sieht man schon an einfachen Dingen, dass die E-Mail gefälscht wurde.
- Der Betreff passt nicht, die Anrede ist unpersönlich oder nicht wie gewohnt.
- Die Rechtschreibung ist häufig fehlerhaft, Umlaute werden nicht richtig wiedergegeben, oder der Satzbau ist untypisch.
- Bei einer persönlichen Anrede wird oft der Vor- und Nachname benutzt oder ein falsches Geschlecht.
Manche E-Mails kopieren das Layout und das Corporate Design des Unternehmens und des Absenders aber so perfekt, dass man nur schwer unterscheiden kann ob die E-Mail nun ein Original ist oder nicht.
Aber auch in diesen Fällen können Sie einen Betrug erkennen. Folgende Dinge sind bei allen Phishing-Mails identisch:
1. Sehr dringender Handlungsbedarf
Die E-Mails möchten Sie zu einem schnellstmöglichen Tätigwerden zwingen, um unangenehme Konsequenzen zu vermeiden.
2. Konsequenzen
Wenn Sie nicht sofort handeln, drohen hohe Strafen, Bußgelder oder Ähnliches für Sie oder das Unternehmen.
3. Links oder Anhänge
Sie werden in der Regel aufgefordert, einen Link zu nutzen oder einen Anhang zu öffnen, um Gebühren, Strafen oder sonstige unangenehme Dinge zu vermeiden.
Sie haben bereits auf einen Link geklickt oder den Anhang geöffnet und im schlimmsten Fall bereits Daten weitergeben?
In diesem Fall kontaktieren Sie unverzüglich Ihre IT-Abteilung und den Datenschutzbeauftragten.
Geben Sie Acht. Gerade in Stresssituationen macht man Fehler, die einen großen Schaden für Sie und für Ihren Arbeitgeber bedeuten können.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
|
Während der Arbeit in der Corona-Krise müssen oft viele Informationen schnell ausgetauscht werden. Dazu kommt, dass viele Mitarbeiter im Home Office arbeiten und die Umstellung darauf unter Umständen sehr schnell erfolgte. Das erhöht die Gefahr einer Datenschutzverletzung, d.h. von Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten.
Allgemein gilt: Sie sollten immer gewissenhaft mit personenbezogenen Daten wie beispielsweise Namen und Adressen umgehen. Seien Sie besonders vorsichtig beim Umgang mit sensiblen Daten wie Gesundheitsdaten, Daten über politische Meinungen oder zu religiösen oder weltanschaulichen Überzeugungen.
Hier sind noch einige organisatorische Tipps, die Ihnen dabei helfen sollen personenbezogene Daten zu schützen und Datenschutzverletzungen zu vermeiden:
Bei der Arbeit im Home Office sollte folgendes beachtet werden:
Sollte es dennoch zu einer Datenschutzverletzung kommen, melden Sie diese unverzüglich Ihrem Datenschutzbeauftragen, damit dieser eine Risikoabwägung durchführen kann und ggf. eine Meldung der Datenschutzverletzung innerhalb der Frist des Art. 33 DSGVO an die Aufsichtsbehörde erfolgen kann.
|
Working during the corona crisis, a lot of information often has to be exchanged quickly. In addition, many employees now work from home and the transition to it may have taken place very quickly. This increases the risk of a data breach, i.e. the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data.
In general, you should always handle personal data such as names and addresses conscientiously. Be especially careful when handling sensitive data such as health data, data on political opinions or on religious or ideological beliefs.
Here are some organizational tips to help you protect personal data and prevent data protection violations:
The following should be observed when working in the home office:
Should a data breach occur nevertheless, please report it immediately to your data protection officer so that he can weigh up the risks and, if necessary, report the data breach to the supervisory authority within the period stipulated in Art. 33 GDPR.
|
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Die Niederländische Datenschutzbehörde hat gegen den Tennisclub KNLTB ein Bußgeld in Höhe von 525.000 Euro verhängt, weil dieser Daten seiner Mitglieder an Sponsoren verkauft hat.
Ein Sponsor erhielt ca. 50.000 Datensätze, ein anderer Sponsor sogar ca. 300.000 Datensätze. Übermittelt wurden u.a. Vor- und Nachname, Adresse, E-Mail-Adresse, Geschlecht, Telefon- und Handynummer und Geburtsdatum der Mitglieder. Einige Monate vor der Weitergabe der Daten, kündigte der Tennisclub seinen Mitgliedern dies in seinem Newsletter und auf der Webseite an und wies darauf hin, dass die Mitglieder der Weitergabe widersprechen können.
Daraufhin wurden die Mitglieder postalisch und in ca. 40.000 Fällen auch telefonisch vom Sponsor kontaktiert.
Der Tennisclub rechtfertigte die Weitergabe der Daten damit, dass dies einen Mehrwert für die Mitglieder schaffen sollte (z.B. in Form von tennisbezogenen und anderen Angeboten) und dadurch außerdem die sinkenden Einnahmen wegen rückläufiger Mitgliederzahlen ausgeglichen werden sollten.
Dies erkannte die Niederländische Datenschutzbehörde nicht als ausreichend an, sondern sah darin eine unerlaubte Weitergabe von Daten und damit ein Verstoß gegen die DSGVO. Die Datenschutzbehörde wertete die Handlungen des Tennisclubs als schweren Verstoß. Der Tennisclub habe sich insbesondere nicht ausreichend informiert.
Die Entscheidung ist noch nicht rechtskräftig, der Tennisclub hat bereits angekündigt, Rechtsmittel einlegen zu wollen.
Die Weitergabe von Daten bedarf immer einer rechtlichen Grundlage gemäß Art. 6 DSGVO. Als eine solche kommt vorliegend lediglich eine Einwilligung in Betracht, die jedoch ausdrücklich, informiert und freiwillig erteilt werden muss. Ein bloßer Hinweis auf ein bestehendes Widerspruchsrecht, das aktiv ausgeübt werden muss, weil ansonsten das Schweigen als Einwilligung gewertet wird, ist nicht ausreichend und zulässig!
Ein weiteres Beispiel, dass uns zeigt, dass die Rechtsgrundlage für die Datenverarbeitung immer sorgfältig abgewogen werden muss. Binden Sie vor solchen Aktionen immer Ihren Datenschutzbeauftragten mit ein, um hier auf der sicheren Seite zu sein.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz