DS-GVO aktuell
8. April 2025
Warnung!
Phishing-Nachrichten über vertrauenswürdige Plattformen
Angreifer / Cyberkriminellen versuchen Sie mit echten Systemnachrichten auszutricksen.
Was steckt dahinter?
Potenzielle Angreifer / Cyberkriminellen……
1. richten sich ein „echtes“ Konto bei einem Anbieter wie z.B. Microsoft 365, Google Drive, Paypal oder Docusign ein. Hierzu benutzen die Cyberkriminellen eine sehr kreativen „Organisationsbezeichnung“, wie z.B.
„Ihr Abonnement wurde erfolgreich für [000,00 € / $] über Ihr Girokonto erworben. Wenn Sie diese Transaktion nicht autorisiert haben, rufen Sie bitte [+00 000 0000] an, um eine Rückerstattung zu beantragen.“
2. laden eine angebliche Rechnung für das Abonnement in Form eines PDFs (oder eine leere Schadcode behaftete Datei), zum Beispiel bei OneDrive in diesem Konto hoch.
3. teilen dieses Dokument mit dem Anwender bzw. Empfänger der Phishing-Nachricht.
Ein simpler, aber überaus raffinierter Trick, um Anwender dazu zu bringen Malware-belastete Dokumente zu öffnen.
Woher stammt diese Information?
Das Threat-Labs-Team des Security-Awareness-Spezialisten Knowbe4 beobachteten Anfang März 2025 einen massiven Anstieg von Phishing-Angriffen, die von legitimen Microsoft-Domains ausgingen. Innerhalb von 30 Minuten hätten die Experten 7.000 Angriffe registriert, die über die E-Mail-Adresse microsoft-noreply@microsoft.com ausgingen.
Wo liegt das Risiko?
Da die Angreifer / Cyberkriminellen das schädliche Dokument über einen echten, vermeintlichen vertrauenswürdigen Account hochladen, wird die Nachricht möglicherweise auch durch erfahrene Benutzer als legitim angesehen werden.
Wie erkennt man diesen Angriff?
Im Feld „im Auftrag von.“ steht nicht wie erwartet die Organisation, bei den Sie den Vertrag abgeschlossen haben, sondern die eigentliche Nachricht.
Beispielsweise:
Von: Microsoft OneDrive microsoft-noreply@microsoft.com
Im Auftrag von: Ihr Abonnement wurde erfolgreich für [000,00 € / $] über Ihr Girokonto erworben. Wenn Sie diese Transaktion nicht autorisiert haben, rufen Sie bitte [+00 000 0000] an, um eine Rückerstattung zu beantragen.
Betreff: [Microsoft] hat eine Datei mit Ihnen geteilt
15. Februar 2025
Beschwerdeunabhängige Kontrollen durch Datenschutzbehörden
Auf gleicher Weise wie der HmbBfDI 2023 nach datenschutzrechtlichen Kennzahlen fragt, könnte zu jeder Zeit eine gleichartige Anfrage von Ihre Landesdatenschutzbehörde auch in Ihren Briefkasten landen.
Die Behörden nutzen verschiedene Methoden wie Fragebögen, Vor-Ort-Prüfungen oder technische Analysen, um mögliche Datenschutzverstöße aufzudecken.
Um auf eine Kontrolle gut vorbereitet zu sein, sollten Verantwortliche im Unternehmen oder Verein regelmäßig ihre Datenschutzmaßnahmen überprüfen.
Lesen Sie hier mehr dazu
7. Februar 2025
Kann „Microsoft CoPilot“ datenschutzkonform eingesetzt werden?
Microsoft CoPilot steht seit einiger Zeit kostenfrei zur Verfügung und ist ebenso wie „Microsoft CoPilot with commercial Data Protection“ mit weniger Funktionen und Sicherheitseinstellungen als der „CoPilot for Microsoft 365“ ausgestattet.
Dies bedeutet, dass ….
Microsoft CoPilot, auch mit der Lizenz „with commercial Data Protection“,
(„mit kommerziellem Datenschutz“)
nicht Datenschutzkonform (DS-GVO) einsetzbar ist.
Verwirrend und für einige überraschend wird sein, dass der Einsatz von Microsoft CoPilot (Generativ / with commercial Data Protection) nicht per se ausgeschlossen ist. Sofern diese KI nicht in einem Zusammenhang mit personenbezogenen Daten verwendet wird, ist eine Verwendung durchaus möglich.
Lesen Sie hier mehr dazu
30. Januar 2025
Deepseek ist in aller Munde und bringt sogar die Tech-Giganten an den Börsen ins Wanken.
Klar, dass wir alle diese KI mal ausprobieren möchten. Aber Datenschutzrechtlich ist einiges im Argen und sollte vor allem in unternehmerischen Bereich bedacht werden.
Nach Aussagen von Datenschutzexperten fehle es Datenschutzrechtlich „an so ziemlich allem“.
Deepseek weist in seine Datenschutzrichtlinien daraufhin, dass das Unternehmen umfangreiche Benutzer- Informationen durch die App erfasst. Außerdem ist dort zu lesen – „Wir speichern die von uns erfassten Daten auf sicheren Servern in der Volksrepublik China“.
Aus diesem Grund müssen sich DeepSeek-Nutzer darüber im Klaren sein, dass alle Daten, die mit der Plattform geteilt werden, auf Anfrage auch dem Zugriff der Regierung in China unterliegen können.
Als besonders datenschutzrechtlich problematisch gelten die Speicherung und Verwendung von;
· der IP-Adresse,
· Datum und Uhrzeit der Anforderung
· Name der angeforderten Datei
· Seite, von der aus der Datei angefordert wurde
· Zugriffsstatus (Datei übertragen, Datei nicht gefunden, etc.)
· verwendeter Webbrowser und verwendetes Betriebssystem
· Sprache und Version der Browsersoftware
· Chatverläufe,
· Audiodateien,
· hochgeladene Dateien,
· den Mustern und dem Rhythmus der Tastaturanschläge. (Keylogging)
Die DS-GVO erlaubt nur eine Übermittlung von personenbezogenen Daten mit Staaten, deren Schutzniveau, mit dem in der Europäischen Union vergleichbar sind. Zurzeit fehlt es jedoch an einem Abkommen zwischen China und der EU. Somit ist eine Datenaustausch von personenbezogenen Daten, wie z.B. die IP-Adresse, rechtlich nicht erlaubt.
29. Oktober 2024
Dienstliche E-Mails an Ihre private E-Mail-Adresse weiterleiten
Darf man das?
Kurz zusammengefasst:
Das OLG München (Az. 7 U 351/23 e) entschied kürzlich das dies als ein schwerer Vertrauensbruch gewertet wird und eine fristlose Kündigung nach § 626 BGB rechtfertigt.
Hat Ihr Unternehmen bereits Richtlinien zu dem Umgang mit dienstlichen E-Mails herausgegeben? Gibt es klare Anweisungen und/oder Schulungen zu diesem Thema?
Wenn nicht, dann besteht ein akuter Handlungsbedarf!
Hier erfahren Sie mehr
Ich berate Sie gerne persönlich und freue mich über Ihre Kontaktaufnahme.
Bei Fragen, Anregungen oder Interesse an einer Beratung stehe ich Ihnen gerne persönlich zur Verfügung.
Sie erreichen mich über mein Rückrufservice.
11. September 2024
Auskunftanfrage nach Art. 15 DS-GVO – Empfängerkategorien reichen meist nicht aus!
Informationen zum Verfahren ( Vorabentscheidungsersuchen) EuGH C-154/21 – 12.01.2023
Kurz zusammengefasst:
Nach Art. 15 Datenschutz-Grundverordnung hat jeder Kunde Ihres Unternehmens, aber auch jeder (Ex-)Mitarbeiter, Bewerber, Aushilfskraft oder Praktikant das Recht Auskunft darüber verlangen, welche personenbezogenen Daten Sie von ihm erhoben und an wen Sie diese weitergegeben haben. Der Europäische Gerichtshof (EuGH) hat bereits 2023 klargestellt, wie die Auskunft über die Empfänger der personenbezogenen Daten auszusehen hat.
Hier erfahren Sie mehr
14. August 2024
Der EuGH hat ein, mit einem Bezug zur Datenschutzverstößen von Auftragsverarbeitern, wegweisendes Urteil getroffen.
Informationen zum Verfahren ( Vorabentscheidungsersuchen) EuGH C-683/21 – 14.12.2023
Kurz zusammengefasst:
Mit diesem Urteil wird klargestellt, dass auch dann seitens des Verantwortlichen eine Verantwortung für Datenschutzverstöße besteht, wenn diese nicht von einem Mitarbeiter, sondern von einem Auftragsverarbeiter begangen wurde. Voraussetzung ist, dass die betreffenden Verarbeitungsvorgänge im Namen des Verantwortlichen, also der Auftraggeber, durchgeführt wurden und der Verstoß somit im Zuge der Auftragserfüllung erfolgte.
Hier erfahren Sie mehr
14. Dezember 2023
Schadensersatz bei einem möglichen Missbrauch von persönlicher Daten.
Kurz zusammengefasst:
Mit diesen Gerichtsurteil hat die EuGh die Rechte von Verbrauchern in der EU enorm gestärkt.
Für Unternehmer bzw. Datenverarbeiter wird es im Falle eines Hackerangriffs schwierig sein nachzuweisen, dass ihre Schutzmaßnahmen zum Zeitpunkt der Datenschutzverletzung geeignet waren und sie in keinerlei Hinsicht für den Schaden verantwortlich sind. Als Folge dieses Urteil müssen Verantwortliche dafür sorgen das die Dokumentationen auch dazu geeignet sind die Sicherheitsmaßnahmen für einen zurückliegenden Zeitraum zu beweisen. Dabei geht vorallem um den Nachweis das eine Sicherheitsmaßnahme nicht nur geplant, sondern auch tatsächlich umgesetzt wurde.
Da sich die EuGH bei dieser Feststellung nicht auf eine “größere” Menge von betroffenen Daten bezieht, wird es zukünftig vorallem für kleinere Unternehmen ein großes Risiko für Schadenersatzansprüche von Einzelpersonen und somit zu einer Zunahme von Klagen wegen immaterieller Schäden führen.
In der Regel wird es dem Verantwortlichen kaum möglich sein, sich zu entlasten bzw. darzulegen und zu beweisen, dass das geforderte Sicherheitsniveau zum Zeitpunkt des Cyberangriffs oder Datenschutzverletzung eingehalten wurde. Es sei denn, er hat Maßnahmen getroffen um das geforderte Sicherheitsniveau und die getroffenen Schutzmaßnahmen auch rückwirkend nachzuweisen.
Die Verantwortlichen aller Unternehmen, Freiberufler, Vereine und öffentliche Organisationen werden zukünftig Ihre Dokumentierungs- und Nachweispflicht weitaus sorgfältiger und für die Vergangenheit nachweisbar nachkommen müssen.
Hier erfahren Sie mehr
Hinweis:
Die DS-GVO, das BDSG und weitere Datenschutzgesetze sowie -verordnungen gelten für ganz oder teilweise automatisierte Verarbeitungen von personenbezogener Daten sowie für die nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem, wie z.B. einem Archiv, gespeichert sind oder gespeichert werden sollen.
Das Urteil in der Rechtssache EuGH C340/21 bezieht sich also auch auf Datenschutzverletzungen von nicht automatisierte Datenverarbeitungen!
Handwerk,
SPF (Sender Policy Framework)
DKIM (DomainKeys Identified Mail)
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
Bestellung zum externen Datenschutzbeauftragten
Dieses Angebot gilt für Unternehmen mit maximal 20 Mitarbeiter in den Landkreisen Rotenburg (Wümme), Stade, Harburg, Heidekreis, Verden, Osterholz, Cuxhaven sowie die Bundesländer Hamburg und Bremen.