DATENSCHUTZ IN DER KINDERTAGESSTÄTTE

Personenbezogene Daten von Kindern sind nach den Regelungen der Datenschutz-Grundverordnung (DS-GVO) besonders schutzwürdig. Dies geht insbesondere aus Art. 8 DS-GVO sowie dem entsprechenden Erwägungsgrund 38 hervor: „Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.“ Ein besonderes Augenmerk ist dementsprechend auf die Datenverarbeitung in Kindertagesstätten zu legen, wo die Verarbeitung von Kinderdaten wie bei kaum einer anderen Stelle zum Alltag gehört. Der Beitrag soll Praxisfragen klären und mit Missverständnissen aufräumen.


WER IST FÜR DIE DATENVERARBEITUNG IN DER KINDERTAGESSTÄTTE VERANTWORTLICH?

Wie bereits in unserem Blog-Beitrag „Reichweite der datenschutzrechtlichen Verantwortlichkeit bei Kommunen“ dargestellt, ist für die Beantwortung der Frage der datenschutzrechtlichen Verantwortlichkeit die jeweilige Trägerschaft entscheidend: Sofern sich eine Kindertagesstätte in der Trägerschaft einer Kommune befindet, ist diese für die Zwecke und Mittel der Datenverarbeitungen verantwortlich. Etwas anderes gilt dann, sofern sich eine Kindertagesstätte in freier Trägerschaft befindet: Die datenschutzrechtliche Verantwortlichkeit für Datenverarbeitungen im Alltag der Kinder liegt dann beim jeweiligen Träger. Für die Vergabe der Kindertagesstättenplätze verbleibt jedoch in der Regel die Kommune als verantwortliche Stelle.


WELCHE DATEN DÜRFEN IM RAHMEN DES BETREUUNGSVERTRAGES VERARBEITET WERDEN?

Für die Anbahnung und den Abschluss des Betreuungsvertrages sowie zur Sicherstellung der Betreuung dürfen grundsätzlich diejenigen personenbezogenen Daten von Kindern, Sorgeberechtigten und Dritten (z.B. Abholberechtigten) verarbeitet werden, die zur Durchführung der Betreuung zwingend erforderlich sind. Die Rechtsgrundlage hierfür bildet das Vertragsverhältnis gemäß Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO. Dementsprechend können auch Angaben zu Krankheiten oder Allergien verarbeitet werden, um den Erzieher:innen im Notfall eine angemessene Reaktion ermöglichen zu können. Weiterhin können auch Angaben bezüglich notwendiger Schutzimpfungen (z.B. Masernschutzimpfung) verarbeitet werden, da für die Einrichtungen eine entsprechende Verpflichtung zur Kontrolle besteht.


DÜRFEN KINDERNAMEN AN GARDEROBEN, BILDERN ODER BASTELEIEN ANGEBRACHT WERDEN?

Diese Frage wurde insbesondere um Mai 2018 herum kontrovers diskutiert. Abhilfe schaffte hierbei jedoch recht zeitnah das Bayerische Landesamt für Datenschutzaufsicht mit einer praxisnahen Stellungnahme im Rahmen des 8. Tätigkeitsberichtes 2017/2018: Grundsätzlich dürfen Namensschilder an Garderoben angebracht sowie Bilder und Basteleien mit den Namen der Kinder versehen werden. Das Bayerische Landesamt für Datenschutzaufsicht sieht hierbei den Betreuungsvertrag (Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO) beziehungsweise das berechtige Interesse der Einrichtung (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO) an der Organisation des Kita-Alltags als einschlägige Rechtsgrundlage an.


DÜRFEN ANWESENHEITS-, ALLERGIE- UND NOTFALLKONTAKTLISTEN ANGEFERTIGT WERDEN?

Grundsätzlich dient die Anfertigung solcher Listen der Durchführung des Betreuungsvertrages und kann dementsprechend vorgenommen werden. Derartige Listen sollten jedoch ausschließlich an geeigneten Orten ausgehangen werden, die nicht für jedermann zugänglich sind. In der Bestimmung eines geeigneten Ortes sind die jeweiligen Verwendungszwecke zu berücksichtigen und die zugriffsberechtigten Personen zu erörtern: Wer muss wissen, welche Kinder anwesend sind? Wer muss die Allergien eines Kindes einsehen können? Wer muss auf die Notfallkontakte zugreifen können?


DARF MIT ELTERN PER E-MAIL ODER ÜBER GÄNGIGE MESSENGER-DIENSTE KOMMUNIZIERT WERDEN?

Auf die datenschutzrechtliche Problematik im Zusammenhang mit gängigen Messenger-Diensten wie zum Beispiel WhatsApp oder Telegram haben wir bereits in unserem Blog-Beitrag „Messenger-Dienste und Datenschutz – „Würde ich selbst wollen, dass …?“ hingewiesen. Derartige Messenger-Dienste sind oftmals nicht datenschutzkonform einsetzbar, sodass auch die datenschutzrechtlichen Aufsichtsbehörden beispielsweise einen Einsatz von WhatsApp als nicht zulässig erachten. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz führt in den FAQ zu „Datenschutz in der Kita“ aus: „Sofern es als notwendig erachtet wird, über Messenger mit Eltern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht.“ Als Beispiel ist in diesem Zusammenhang der Messenger-Dienst Threema zu nennen.

Auch der Versand von E-Mails bietet meist ein nur geringes Schutzniveau. Dieses wird oftmals in Vergleich mit dem Schutzniveau einer Postkarte gesetzt. Dementsprechend können allgemein gehaltene Hinweise oder Einladungen zu Veranstaltungen per E-Mail versendet werden. Der Versand von personenbezogenen Daten von Kindern sollte jedoch grundsätzlich nicht per E-Mail erfolgen.


DÜRFEN DURCH KINDERTAGESSTÄTTEN FOTOGRAFIEN VON KINDERN ANGEFERTIGT UND VERÖFFENTLICHT WERDEN?

Werden Fotografien von Kindern oder anderen Personen angefertigt und sind diese auf den Aufnahmen zu identifizieren, so bedarf es grundsätzlich der Einwilligung der betroffenen Personen beziehungsweise der Sorgeberechtigten. Die Anzahl der aufgenommenen Personen (z.B. bei Gruppenaufnahmen) ist hierbei unerheblich (OVG Lüneburg, Beschl. v. 19.1.2021 – 11 LA 16/20). Bei Einwilligungen hinsichtlich der Verarbeitung von personenbezogenen Daten von Kindern ist dabei zwingend zu berücksichtigen, dass es in der Regel der Einwilligung aller Sorgeberechtigten bedarf (OLG Düsseldorf, Beschl. v. 20.7.2021 – 1 UF 74/21). Weiterhin ist im Zusammenhang mit der Einwilligungserklärung zu berücksichtigen, dass sich diese zwingend auf die jeweiligen Verarbeitungszwecke und Veröffentlichungsmedien beziehen muss.

Zur Anfertigung von Fotografien durch die Kindertagesstätte dürfen keine privaten Endgeräte oder Speichermedien der Erzieher:innen verwendet werden.


DÜRFEN ELTERN INNERHALB DER KINDERTAGESSTÄTTE FOTOGRAFIEN VON IHREN EIGENEN KINDERN ANFERTIGEN?

Werden innerhalb der Kindertagesstätte durch die Eltern Fotografien von Kindern angefertigt, ist die jeweilige Kindertagesstätte für diese Datenverarbeitung nicht verantwortlich. Solange die Eltern die Aufnahmen ausschließlich für ihre privaten und familiären Zwecke anfertigen und nicht auf einschlägigen sozialen Netzwerken oder Cloud-Diensten hochladen, finden die Regelungen der DS-GVO zudem keine Anwendung (Art. 2 Abs. 2 lit. c DS-GVO). Im Zweifel lässt sich für die Erzieher:innen jedoch nicht erkennen, ob gegebenenfalls auch weitere Kinder aufgenommen werden und zu welchen Zwecken eine solche Aufnahme erfolgt. Daher steht es den Einrichtungen im Rahmen ihres Hausrechts grundsätzlich frei, ein Verbot von Fotoaufnahmen durch Eltern auszusprechen.


DÜRFEN DIE DIENSTPLÄNE DER ERZIEHER:INNEN AUSGEHANGEN WERDEN?

Auch wenn diese in der Praxis häufig gestellten Frage nicht den Schutz personenbezogener Daten von Kindern betrifft, soll sich abschließend dem Datenschutz der Erzieher:innen gewidmet werden. Die aufgeworfene Frage kann insoweit bejaht werden, dass soweit es aus organisatorischen Gründen erforderlich ist, der Aushang des Dienstplans vorgenommen werden kann. Dabei ist jedoch zu berücksichtigen, dass Dienstpläne ausschließlich dort ausgehangen werden, wo ausschließlich die Erzieher:innen und keine Dritte Einsicht nehmen können. Weiterhin ist aus organisatorischen Gründen im Abwesenheitsfall der Vermerk „Abwesend“ oder „A“ ausreichend. Eine Kennzeichnung und Unterscheidung von „Krank“, „Kind-Krank“, „Urlaub“ oder „Kur“ ist für die Organisation des Kita-Alltags nicht erforderlich und die Offenlegung gegenüber sämtlichen Erzieher:innen mithin datenschutzrechtlich unzulässig.


FAZIT

Im Alltag einer Kindertagesstätte ergeben sich viele datenschutzrechtliche Fragestellungen, für die (mittlerweile) jedoch auch praxistaugliche Antworten vorliegen. Insofern Unsicherheiten im Umgang mit personenbezogenen Daten mit Kindern bestehen, sind Erzieher:innen gut beraten den Datenschutzbeauftragten der verantwortlichen Stelle zu Rate zu ziehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • E-Mail
  • Fotoveröffentlichung
  • Kindertagesstätte
  • Messenger
Lesen

E-MAIL-WEITERLEITUNG IN VERTRETUNGSFÄLLEN

Insbesondere die bevorstehende Urlaubszeit lässt vermehrt die datenschutzrechtlichen Fragestellungen im Zusammenhang mit einer möglichen Weiterleitung von E-Mails in Vertretungsfällen aufkommen. Doch die weitaus größere Herausforderungen stellen die kurzfristigen und ungeplanten Abwesenheiten, zum Beispiel aufgrund von Krankheiten, dar. Von elementarer Bedeutung ist diesbezüglich, ob die verantwortliche Stelle die private Nutzung dienstlicher Kommunikationsmittel erlaubt. Der Beitrag umreißt in diesem Zusammenhang Problemfälle und Möglichkeiten.


AUSSCHLIEßLICH DIENSTLICHE NUTZUNG DER E-MAIL-POSTFÄCHER?

Ist die private Nutzung der E-Mail-Postfächer nicht ausdrücklich untersagt, ergeben sich für die verantwortlichen Stellen bereits hier die ersten Probleme. Grundsätzlich ist dann davon auszugehen, dass auch private und persönliche Inhalte durch Beschäftigte per E-Mail kommuniziert werden könnten. Ein Zugriffsrecht der verantwortlichen Stelle oder durch andere Beschäftigte – und dementsprechend erst recht eine automatisierte Weiterleitung der E-Mails – verbietet sich insoweit bereits aufgrund des  dann einschlägigen Fernmeldegeheimnisses nach § 88 TKG (Telekommunikationsgesetz). Gemäß § 88 Abs. 1 TKG unterliegen sämtliche Inhalte und näheren Umstände der Kommunikation, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war, dem Fernmeldegeheimnis.

Wird aufgrund einer kurzfristigen und ungeplanten Abwesenheit von Beschäftigten zeitnah ein Zugriff zu einem Postfach benötigt, bedarf es dann einer informierten Einwilligung des jeweiligen Beschäftigten sowie unter Umständen ebenfalls der Einbeziehung der jeweiligen Beschäftigtenvertretung. Während die Einbeziehung der Beschäftigtenvertretung womöglich zeitnah möglich ist, kann in bestimmten Situationen das Einholen der Einwilligung der betroffenen Person nahezu unmöglich sein. Verantwortliche Stellen sind – unter anderem – aus diesem Grund gut beraten, die private Nutzung der dienstlichen Kommunikationsmittel ausdrücklich zu untersagen.


WEITERLEITUNG AUF PRIVATE E-MAIL-POSTFÄCHER

In Abwesenheitsfällen gänzlich ungeeignet ist die Weiterleitung der dienstlichen E-Mails auf private E-Mail-Postfächer der jeweiligen Beschäftigten. Da die personenbezogenen Daten hierbei den unmittelbaren Wirkungsbereich der verantwortlichen Stelle verlassen, stellt eine solche Weiterleitung regelmäßig eine Übermittlung an Dritte dar, für welche es einer einschlägigen Rechtsgrundlage bedarf. Darüber hinaus kann so durch die verantwortliche Stelle nicht vollumfänglich die Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 DS-GVO (Datenschutz-Grundverordnung) sichergestellt werden. Weiterhin verliert die verantwortliche Stelle hierbei die Zugriffsmöglichkeit auf die entsprechenden E-Mails und die darin enthaltenen personenbezogenen Daten, welches grundsätzlich auch die Umsetzung und Überprüfung von regelmäßigen Löschroutinen unmöglich macht.


WEITERLEITUNG AUF DIENSTLICHE E-MAIL-POSTFÄCHER

Grundsätzlich unproblematisch – ein Verbot der privaten Nutzung vorausgesetzt – ist die Weiterleitung von E-Mails von sogenannten Funktionspostfächern (z.B. info@xyz.de). Hier ist für den Absender bereits eindeutig erkennbar, dass ein solches E-Mail-Postfach nicht zwingend einer einzelnen Person zugeordnet ist, sondern gegebenenfalls mehrere Personen die eingehenden E-Mails bearbeiten. Im Abwesenheitsfall kann somit eine Weiterleitung auf eine Vertretung vorgenommen werden, soweit die internen Abläufe eine solche erfordern.

Im Rahmen von persönlichen E-Mail-Postfächern ist davon auszugehen, dass der Absender einer E-Mail grundsätzlich annimmt, dass ausschließlich der jeweilige Beschäftigte Zugriff auf eingehende E-Mails erhält. Eine Weiterleitung sollte aus diesem Grund auch bei untersagter Privatnutzung der E-Mail-Postfächer regelmäßig ausbleiben und stattdessen eine Abwesenheitsnotiz mit einem einfachen Verweis auf die Vertretung bei eilbedürftigen Anliegen verwendet werden. Der Absender kann so selbst entscheiden, ob er das Anliegen der Vertretung vorträgt oder eine persönliche Klärung mit dem ursprünglich vorgesehenen Empfänger bevorzugt.

Etwas anderes kann sich unter Umständen dann ergeben, wenn die Beschäftigten häufig fristgebundene Angelegenheiten bearbeiten und es aus organisatorischen Gründen zwingend der Gewährleistung einer zeitnahen Bearbeitung von derartigen Anliegen bedarf. Eine mögliche Rechtsgrundlage einer Weiterleitung von E-Mails bilden hierbei die Durchführung des Beschäftigtenverhältnisses gemäß § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) beziehungsweise die jeweiligen Interessen der verantwortlichen Stelle gemäß Art. 6 Abs. 1 Satz 1 lit. f DS-GVO, sofern nicht beispielsweise spezialgesetzliche Verschwiegenheitsverpflichtungen einer solchen Weiterleitung entgegenstehen. Hierunter können unter anderem Kommunikationen mit Personalvertretungen oder auch dem Datenschutzbeauftragten fallen.

In jedem Fall ist der Absender (möglichst zuvor) über eine Weiterleitung zu informieren. Die Vergabe von Vollzugriffen auf das E-Mail-Postfach der zu vertretenden Beschäftigten ist jedoch zu vermeiden.


UMGANG BEI AUSSCHEIDEN VON BESCHÄFTIGTEN

Mit dem Ausscheiden von Beschäftigten sind die mit der jeweiligen Person in Verbindung stehenden persönlichen E-Mail-Postfächer umgehend zu deaktivieren und zu löschen, sodass auf diesen keine weiteren E-Mails eingehen können. Dies ist insbesondere mit Blick auf Art. 17 Abs. 1 lit. a DS-GVO zeitnah umzusetzen, da die verantwortliche Stelle die Verpflichtung zur Löschung personenbezogener Daten trifft, welche für die Verarbeitungszwecke nicht mehr notwendig sind, für welche diese erhoben oder auf sonstige Weise verarbeitet wurden.

Der Absender der E-Mail erhält bei dem Versand einer E-Mail an ein gelöschtes E-Mail-Postfach durch den jeweiligen E-Mail-Server automatisiert eine Benachrichtigung, dass der entsprechende Empfänger nicht existiert und die E-Mail nicht zugestellt werden konnte. Hierdurch bekommt dieser die Möglichkeit sich über andere bekannte Kontaktwege an die verantwortliche Stelle zu wenden – und sofern nicht bereits geschehen – Kontaktmöglichkeiten zur neuen Ansprechperson in Erfahrung zu bringen.

Vor einer Löschung der jeweiligen E-Mail-Postfächer ist jedoch zu prüfen, ob bestimmte geschäftliche Inhalte gesetzlichen Aufbewahrungsfristen unterliegen, die einer Löschung entgegenstehen, Art. 17 Abs. 3 lit. b DS-GVO. Sofern im Rahmen einer solchen Überprüfung die Kenntnisnahme von privaten Kommunikationsinhalten nicht ausgeschlossen werden kann, ist der jeweilige Beschäftigte vor dem Ausscheiden darauf hinzuweisen, dass derartige Inhalte zuvor eigenständig zu löschen sind. Sollte dies bereits nichts nicht mehr möglich sein, so sollte eine vertrauliche Person benannt werden, welche – beispielsweise im Beisein der Beschäftigtenvertretung – das E-Mail-Postfach sichtet, um geschäftliche E-Mail-Kommunikation zu separieren und offensichtliche private oder anderweitig vertrauliche Nachrichten ohne weitere Einsichtnahme umgehend löscht.


FAZIT

Die Thematik der Weiterleitung von E-Mails in Vertretungsfällen ist aus datenschutzrechtlicher Sicht äußerst facettenreich. Verantwortliche Stellen sollten insbesondere vor diesem Hintergrund durch eine verbindliche Festlegung im Rahmen einer Richtlinie die private Nutzung der dienstlichen Kommunikationsmittel untersagen. Hierdurch lassen sich meist bereits eine Vielzahl von Problemfällen vermeiden. Darüber hinaus sind die jeweiligen (organisatorischen) Erfordernisse der verantwortlichen Stelle sowie die regelmäßigen internen Prozesse und sich hieraus ergebende Fristen zu berücksichtigen. Bei der Betrachtung der aufgeworfenen Thematik sollte aufgrund der Vielzahl der zu berücksichtigenden Umstände stets der Datenschutzbeauftragte einbezogen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Abwesenheit
  • E-Mail
  • Funktionspostfächer
  • Vertretung
  • Weiterleitung
Lesen

DAS PROBLEM MIT DEM PHISHING

Vor dem Hintergrund des durch die Corona-Pandemie bedingten Anstiegs der im „Home-Office“ tätigen Beschäftigten ist es nahezu denklogisch, dass ebenfalls eine drastische Zunahme von sogenannten Phishing-E-Mails zu verzeichnen ist.

Dem neuen KnowBe4 Phishing-Report ist dabei zu entnehmen, dass zu den aktuellen Themen (Untersuchung von echten Phishing-E-Mail-Betreffzeilen aus der Praxis) u.a. folgende Themen gehören:  „IT: Jährliche Bestandsaufnahme der Geräte“, „Twitter: Sicherheitswarnung: Neuer oder ungewöhnlicher Twitter-Login“, „Amazon: Aktion erforderlich | Ihre Amazon Prime-Mitgliedschaft wurde abgelehnt“, „Zoom: Fehler bei geplanter Besprechung“, „Google Pay: Bezahlung gesendet“, „Microsoft 365: Aktion erforderlich: Aktualisieren Sie die Adresse für Ihren Xbox Game Pass für Konsolen-Abonnement“, „Arbeitstag: Erinnerung: Wichtiges Sicherheitsupgrade erforderlich“.

Daneben beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) insbesondere Phishing-E-Mails zu Themen Änderungen von Datenschutzbestimmungen (bspw. PayPal), Teilnahmen an Gewinnspielen, Sicherheitsüberprüfungen (z.B. von Bank- und Kreditinstituten) sowie Aktualisierung von Nutzerdaten.

Was ein Phishing-Angriff ist, wie ein solcher erkannt werden kann und wie man sich bei einer Reaktion auf eine Phishing-E-Mail verhalten muss, soll im folgenden Beitrag näher beleuchtet werden.


WAS IST EIGENTLICH PHISHING?

Phishing ist eine Form des Social Engineerings, einer Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch soziale Handlungen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Beschäftigte so manipuliert werden, dass sie unzulässig handeln.

Phishing (ein Kunstwort aus „Password“ und „Fishing“) beschreibt das Vorgehen, insbesondere über gefälschte Unternehmenswebseiten und E-Mails die Zugangsdaten, Bankdaten oder andere vertrauliche Informationen von Benutzern zu erlangen und damit einen Identitätsdiebstahl zu begehen. Grundlegend kann zwischen zwei Varianten von Phishing-E-Mails unterschieden werden:

Zum einen kann eine Phishing-E-Mail einen Link enthalten. Dieser führt zumeist auf einen täuschend ähnlichen Nachbau der Internetseite eines Dienstleisters. Auf diesem soll der Benutzer dann vertrauliche Informationen eintragen. Die hierbei eingegebenen Daten werden abgefangen und für die Zwecke der Betrüger missbraucht.

Zum anderen kann eine Phishing-E-Mail einen Anhang enthalten, der beispielsweise als angebliche Rechnung oder gar Mahnung getarnt ist. Öffnet der Empfänger den Anhang wird darin enthaltene Malware auf dem Endgerät des Nutzers übertragen. Diese Schadsoftware kann dann beispielsweise dafür sorgen, dass ein Zugriff auf einzelne Dokumente oder auf den gesamten Rechner nicht mehr möglich ist oder sämtliche Tastatur- und Bildschirmeingaben an unbefugte Dritte übermittelt werden.

Häufig verbreiten sich Phishing-E-Mails als Spam-E-Mails und erreichen somit unzählige Empfänger. Bei dem sogenannten Spear-Phishing richtet sich der Angriff gezielt gegen bestimmte Organisationen. Diese E-Mails sind oft mit hohem Aufwand auf einen bestimmten Empfänger zugeschnitten.


WORAN ERKENNE ICH EINE PHISHING-E-MAIL?

Auch wenn die meisten Phishing-E-Mails täuschend echt aussehen, können sich diese in den meisten Fällen anhand von einigen der folgenden Merkmale als solche identifizieren lassen:

Allgemeine Anrede: Viele Phishing-E-Mails beginnen mit einer allgemeinen Anrede, wie zum Beispiel „Sehr geehrte Damen und Herren“ oder „Sehr geehrter Kunde, sehr geehrte Kundin“. Unternehmen, bei denen Sie tatsächlich Kunde sind, werden Sie meist persönlich ansprechen. Diesen Schwachpunkt haben jedoch auch die Verfasser derartiger E-Mails entdeckt: Sie enthalten nun vermehrt auch persönliche Anreden, unter Umständen sogar die korrekte Anschrift oder Telefonnummern.
Handlungsempfehlung: Fragen Sie sich, ob der in der E-Mail genannte Dienstleister mit Ihnen in einer Geschäftsbeziehung steht, Ihre E-Mail-Adresse kennen kann und dieser mit Ihnen im Regelfall per E-Mail kommuniziert.

Inhalte: Mittels Phishing-E-Mails wird meist ein dringender Handlungsbedarf signalisiert, verbunden mit der Androhung von unangenehmen Folgen, sofern eine konkrete Handlung ausbleibt. Derartige Inhalte sollen bewirken, dass in den Empfängern Panik hervorgerufen wird, welche meist ein unvorsichtiges Handeln zur Folge hat. Sie werden zudem aufgefordert, vertrauliche Daten einzugeben. Anders als noch vor einigen Jahren weisen viele Phishing-Mails inzwischen keinerlei sprachliche Mängel mehr auf. Auch bei gut formuliertem Text sollten Sie deshalb wachsam sein.
Handlungsempfehlung: Hinterfragen Sie auch hier, ob der Dienstleister für das geschilderte Anliegen auf diese Weise normalerweise mit Ihnen in Kontakt treten würde. Gerade Finanzdienstleister versenden im Regelfall keine E-Mails, die Links oder Formulare enthalten oder in denen Sie zum Einloggen in Ihr Kundenkonto aufgefordert werden. Überprüfen Sie zudem gegebenenfalls genannte Transaktions-, Rechnungs- oder Bestellnummern. Öffnen Sie hierfür jedoch keine Anhänge.

Absender: Die Absender-E-Mail-Adresse stimmt meist nicht mit dem des vorgegebenen Unternehmens überein.
Handlungsempfehlung: Überprüfen Sie in Zweifelsfällen die Angaben im E-Mail-Header. Eine ausführliche Anleitung hierzu finden Sie im Artikel der Verbraucherzentrale „So lesen Sie den Mail-Header“.

Links und Anhänge: Die in einer Phishing-E-Mail eingefügten Links stimmen in der Regel nicht mit dem im E-Mail-Text angegebenen Internetadressen überein. Vorsicht bei Anhängen mit Formaten wie .exe oder .scr. Diese können Schadsoftware direkt auf Ihr Gerät laden. Manchmal werden Nutzer oder Nutzerinnen auch durch Doppelendungen wie Dokument.pdf.exe in die Irre geführt.
Handlungsempfehlung: Wenn Sie Ihre E-Mails mit einem Browser verwalten, werfen Sie einen Blick auf den sogenannten Quelltext der HTML-Mail. In einem gängigen E-Mail-Programm können Sie den Cursor einfach mit der Maus über die Absenderzeile führen, aber ohne darauf zu klicken. Dann sehen Sie die, ob in der Absenderzeile eine andere Adresse eingebettet ist.

Bestehen nach der Überprüfung der E-Mail weiterhin Zweifel, kontaktieren Sie den Dienstleister über die Ihnen bekannten Kontaktdaten – nutzen Sie hierfür unter keinen Umständen die in der E-Mail angegebenen Daten und antworten Sie auch nicht auf diese.


WIE VERHALTE ICH MICH WENN ICH EINE PHISHING-E-MAIL ERHALTEN HABE?

Haben Sie eine eingehende E-Mail als Phishing-Versuch enttarnt, verschieben Sie die betreffende E-Mail umgehend in den Spam-Ordner. Zusätzlich können Sie eine Meldung an den „echten“ Dienstleister vornehmen sowie die Phishing-E-Mail der Verbraucherzentrale über phishing@verbraucherzentrale.nrw melden.


WAS IST ZU UNTERNEHMEN, WENN AUF EINE PHISHING-E-MAIL REAGIERT WURDE?

Sollte sich erst nach der Bearbeitung einer entsprechenden E-Mail herausstellen, dass es sich um eine Phishing-Attacke gehandelt hat, sollte das jeweilige Endgerät umgehend auf Schadsoftware überprüft werden. Wurden im Zusammenhang mit der Phishing-E-Mail-Zugangsdaten eingegeben, sind diese unverzüglich abzuändern und betroffene Nutzerkonten gegebenenfalls zu sperren (für eine anschließende Entsperrung sollten ausschließlich die neuen Zugangsdaten verwendet werden). Sofern Unternehmensdaten betroffen sind, sollte eine Strafanzeige wegen des Ausspähens von Daten erstattet werden.

Eine Reaktion auf eine Phishing-E-Mail stellt eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DS-GVO dar. Bei derartigen Vorkommnissen sollte demnach der betriebliche / behördliche Datenschutzbeauftragte in den Vorfall einbezogen werden. Unter Umständen erwachsen dem Verantwortlichen Melde- und Informationspflichten gemäß Art. 33 und Art. 34 DS-GVO.


FAZIT

Aufgrund der steigenden Angriffszahlen ist es ratsam die Beschäftigten auf das Thema Phishing-E-Mails zu sensibilisieren und – sofern noch nicht geschehen – notwendige Verhaltensweise wie beispielsweise Meldewege bei Datenschutzverletzungen zu implementieren und zu dokumentieren. Angebracht ist Skepsis bei E-Mails unbekannter Absender. Weiterführende Informationen zum Thema „Phishing“ sind auf den Seiten des BSI sowie auf den Seiten der Verbraucherzentrale aufrufbar. Dort finden Sie auch ein „Phishing-Radar“ mit aktuellen Meldungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • E-Mail
  • Homeoffice
  • Phishing
  • Social Engineering
Lesen