Immer wieder tauchen neue Betrugsversuche auf, aktuell besonders häufig: täuschend echte E-Mails im Namen des Bundeszentralamt für Steuern (BZSt).
Was dabei auffällt: Die Mails wirken auf den ersten Blick seriös, sind aber gezielt darauf ausgelegt, Unternehmen unter Druck zu setzen.
Typischer Inhalt:
Ein klassisches Beispiel:
„Das Bundeszentralamt für Steuern hat einen Bescheid an Ihre E-Mail-Adresse versendet…“
Diese Mails sind nicht nur Spam, sie sind gezielte Phishing-Angriffe. Achten Sie insbesondere auf:
Wichtig: Das BZSt verschickt keine solchen Bescheide per einfacher E-Mail mit PDF-Anhang.
Solche Angriffe sind nicht nur ein IT-Thema, sondern auch ein Datenschutz-Thema:
Gerade kleinere Unternehmen ohne klare Prozesse sind hier besonders anfällig.
Optional sinnvoll:
Auch das Bundeszentralamt für Steuern selbst warnt offiziell vor dieser Betrugsmasche und stellt Beispiele bereit.
Die Masche ist nicht neu – aber aktuell wieder stark im Umlauf.
Gerade weil die Beträge klein wirken und die Mails professionell aussehen, ist die Gefahr hoch, dass sie im Alltag „durchrutschen“.
Sensibilisierung ist hier der einfachste und effektivste Schutz.
Die Zahl klingt absurd, ist aber Realität:
Fast 2 Milliarden E-Mail-Adressen und rund 1,3 Milliarden Passwörter sind aktuell aus verschiedenen Datenlecks im Umlauf.
Zusammengetragen wurden diese Daten unter anderem von der Plattform Synthient, die Sicherheitsbedrohungen im Internet analysiert.
Für Unternehmen und Selbstständige bedeutet das vor allem eins:
Das Risiko eines unbemerkten Datenmissbrauchs ist aktuell so hoch wie lange nicht.
Die Daten stammen nicht aus einem einzelnen Hack, sondern aus einer Vielzahl bereits bekannter Sicherheitsvorfälle.
Das Problem:
Dadurch sind sie jetzt besonders leicht zugänglich – auch für weniger technisch versierte Angreifer.
Viele Nutzer machen (unbewusst) einen entscheidenden Fehler:
Sie verwenden dieselbe Kombination aus E-Mail-Adresse und Passwort bei mehreren Diensten.
Genau das nutzen Angreifer aus.
Vorgehensweise:
Sobald ein Zugang funktioniert, kann sich der Schaden schnell ausweiten:
Eine der bekanntesten Prüfstellen ist die Plattform
Have I Been Pwned
Dort können Sie einfach Ihre E-Mail-Adresse eingeben und prüfen:
Die Datenbank umfasst mittlerweile über 17 Milliarden Datensätze.
Wenn Sie betroffen sind, oder auf Nummer sicher gehen wollen:
Für Unternehmen zusätzlich wichtig:
Aus Sicht des Datenschutzes ist das Thema besonders kritisch:
Das bedeutet:
IT-Sicherheit und Datenschutz lassen sich hier nicht mehr trennen.
Die aktuelle Entwicklung zeigt einmal mehr:
Nicht der einzelne Hack ist das Problem, sondern die Wiederverwertung alter Daten.
Wer heute noch Passwörter mehrfach nutzt, geht ein unnötig hohes Risiko ein.
Der beste Schutz ist einfach umzusetzen, wird aber oft vernachlässigt.
Die Frage bekommen wir regelmäßig: Wie lange gilt eigentlich eine Einwilligung?
Die ehrliche Antwort: Ganz so einfach ist es leider nicht.
Der Bundesgerichtshof (BGH) hat bereits 2018 entschieden: Eine Einwilligung erlischt grundsätzlich nicht automatisch durch Zeitablauf.
Das bedeutet:
Eine einmal erteilte Einwilligung bleibt erstmal gültig, bis sie widerrufen wird.
Auch verschiedene Oberlandesgerichte haben diese Linie bestätigt.
Klingt erstmal einfach. Ist es aber nicht.
Hier wird es spannend.
Datenschutzbehörden sehen das Ganze deutlich praxisnäher:
Schon die frühere Artikel-29-Datenschutzgruppe (heute Teil des European Data Protection Board) hat empfohlen, Einwilligungen nicht „ewig laufen zu lassen“.
Auch deutsche Behörden vertreten die Auffassung:
Wenn eine Einwilligung lange nicht genutzt wird, kann sie faktisch erlöschen.
Die Gerichte sind sich bei der konkreten Dauer alles andere als einig:
Eine klare Grenze gibt es also nicht.
Entscheidend ist immer die Erwartung der betroffenen Person.
Ein paar typische Beispiele:
Wenn sich jemand für einen Newsletter anmeldet, aber ein Jahr lang nichts erhält,
kann die Einwilligung als „veraltet“ gelten.
Wer in einen Bewerberpool aufgenommen wird,
dessen Daten sollten nach ca. 2 Jahren überprüft oder gelöscht werden.
Je länger nichts passiert, desto eher gilt:
Die Einwilligung ist faktisch nicht mehr wirksam
Sobald eine Einwilligung „erlischt“, greift auch der Grundsatz der Speicherbegrenzung aus der DSGVO:
Daten dürfen nicht länger als notwendig gespeichert werden
Folge:
Die entsprechenden Daten müssen gelöscht werden.
Die Frage „Wie lange ist eine Einwilligung gültig?“ lässt sich nicht pauschal beantworten.
Wer hier sauber arbeitet, vermeidet unnötige Risiken.
Gerade im Marketing und HR-Bereich lohnt sich ein strukturierter Ansatz.
Das Thema ist bereits medial aufgegriffen worden:
Immer mehr Plattformen nutzen Nutzerdaten, um eigene KI-Modelle zu trainieren.
Nach Meta Platforms (u. a. Facebook und WhatsApp) zieht nun auch LinkedIn nach.
Ab dem 3. November 2025 will LinkedIn damit beginnen, Nutzerdaten für das Training seiner KI-Systeme zu verwenden.
Nach aktuellem Stand umfasst das unter anderem:
Kurz gesagt: Ein Großteil der Inhalte, die Nutzer aktiv auf der Plattform bereitstellen.
Das zentrale Problem:
Sobald Daten in KI-Modelle einfließen, lassen sie sich faktisch nicht mehr gezielt entfernen.
Das bedeutet:
Gerade für Unternehmen und Mitarbeitende mit sensiblen Profilangaben ist das relevant.
Viele Mitarbeitende nutzen LinkedIn beruflich, oft mit sehr detaillierten Informationen.
Damit entstehen Risiken wie:
Das Thema gehört daher nicht nur in die IT, sondern auch in den Datenschutz.
Wer nicht möchte, dass seine Daten für KI-Training genutzt werden, sollte aktiv widersprechen.
LinkedIn bietet dafür entsprechende Einstellungen im Account.
Hilfreiche Ressourcen:
Auch der Landesbeauftragte für den Datenschutz Niedersachsen hat sich bereits mit dem Thema beschäftigt und entsprechende Hinweise veröffentlicht.
Gerade bei öffentlich sichtbaren Profilen lohnt sich ein genauer Blick.
Die Entwicklung zeigt klar:
Plattformen entwickeln sich zunehmend zu Datenlieferanten für KI-Systeme.
Wer nicht aktiv widerspricht, wird Teil dieser Entwicklung.
Ob das gewollt ist, sollte jeder Nutzer und jedes Unternehmen, bewusst entscheiden.
Aktuell häufen sich Berichte über unangekündigte Vor-Ort-Kontrollen durch Datenschutzaufsichtsbehörden, insbesondere in Hamburg und Mecklenburg-Vorpommern.
Für Unternehmen stellt sich damit die Frage:
Was passiert, wenn plötzlich die Aufsichtsbehörde vor der Tür steht?
Ja.
Die rechtliche Grundlage ergibt sich unter anderem aus:
Danach dürfen Aufsichtsbehörden:
Und das auch ohne vorherige Ankündigung.
Nicht die Kontrolle selbst ist meist das Problem, sondern die erste Reaktion im Unternehmen.
Typische Risiken:
Gerade die ersten Minuten entscheiden oft darüber, wie professionell das Unternehmen wahrgenommen wird.
Ein klar definierter Ablauf hilft, genau diese Situation zu entschärfen.
Ein solcher Plan sollte u. a. regeln:
Ziel ist nicht, etwas „zu verstecken“, sondern strukturiert und souverän zu reagieren.
Unternehmen, die vorbereitet sind:
Oft geht es weniger um Perfektion, sondern um nachvollziehbare Prozesse.
Unangekündigte Kontrollen erfolgen nicht willkürlich.
In der Praxis gibt es fast immer einen Anlass, z. B.:
Wer sauber arbeitet, hat in der Regel nichts zu befürchten – sollte aber trotzdem vorbereitet sein.
Unangekündigte Kontrollen sind rechtlich zulässig und kommen aktuell wieder häufiger vor.
Entscheidend ist nicht, ob sie passieren, sondern wie gut Ihr Unternehmen darauf vorbereitet ist.
Ein klarer Ablaufplan kann hier den Unterschied machen.
Jedes Jahr ist es wieder soweit:
Tausende Kinder starten mit ihrer Einschulung in einen neuen Lebensabschnitt, den sprichwörtlichen „Ernst des Lebens“.
Für Familien ist das ein besonderer Moment, der natürlich festgehalten werden soll.
Fotos von der Einschulungsfeier gehören für viele einfach dazu.
Doch genau hier taucht regelmäßig eine Frage auf:
Was ist beim Fotografieren eigentlich erlaubt?
Grundsätzlich gilt:
Fotos im privaten Rahmen sind in der Regel unproblematisch.
Wer sein eigenes Kind fotografiert, bewegt sich meist auf sicherem Terrain.
Schwieriger wird es, sobald andere Kinder oder Personen mit auf dem Bild sind.
Denn:
Hier greifen die Regelungen zum Schutz personenbezogener Daten und zum Recht am eigenen Bild.
Typische Situationen bei Einschulungen:
Gerade das Veröffentlichen oder Weitergeben von Fotos ist der entscheidende Punkt.
Ohne Einwilligung der Betroffenen bzw. der Eltern kann das problematisch sein.
Ein Foto ist mehr als nur eine Erinnerung.
Es handelt sich in der Regel um ein personenbezogenes Datum, da Personen identifizierbar sind.
Das bedeutet:
Schulen sind beim Thema besonders sensibilisiert.
Oft gibt es bereits:
Diese Vorgaben sollten unbedingt beachtet werden.
Damit der Tag nicht durch Unsicherheit getrübt wird:
Auch der Denis Lehmkemper, Landesbeauftragter für den Datenschutz Niedersachsen, hat sich in einer aktuellen Stellungnahme mit dem Thema beschäftigt und gibt hilfreiche Hinweise für Eltern und Schulen.
Die Einschulung soll vor allem eines sein:
Ein schöner und unbeschwerter Moment für Kinder und Familien
Mit ein wenig Sensibilität beim Thema Fotos lässt sich das problemlos erreichen.
Ein aktuelles Urteil des Europäischer Gerichtshof zeigt deutlich:
Was im Alltag üblich ist, ist datenschutzrechtlich nicht automatisch zulässig.
Im konkreten Fall ging es um eine scheinbar banale Frage:
Darf beim Online-Kauf eines Bahntickets die Angabe des Geschlechts verpflichtend sein?
Die französische Plattform SNCF Connect verlangte beim Ticketkauf die Auswahl zwischen „Herr“ oder „Frau“.
Ein Nutzer hielt das für unzulässig und wandte sich an die französische Datenschutzbehörde (CNIL).
Argument:
Die Angabe sei nicht erforderlich und verstoße gegen die Grundsätze der DSGVO, insbesondere:
Der EuGH bewertet die Situation klar:
Die Abfrage des Geschlechts ist nicht erforderlich für die Vertragserfüllung
→ damit keine zulässige Verarbeitung nach Art. 6 Abs. 1 lit. b DSGVO
Auch ein „berechtigtes Interesse“ greift hier nicht automatisch:
Beides war hier nicht ausreichend gegeben.
Der EuGH stellt klar:
Eine personalisierte Ansprache ist auch ohne Geschlecht möglich
Beispiel:
Damit entfällt ein häufig genutztes Argument für solche Pflichtfelder.
Das Urteil passt zu einer klaren Entwicklung:
Auch das OLG Frankfurt am Main entschied, dass beim Kauf von Bahntickets
E-Mail-Adresse oder Telefonnummer nicht verpflichtend sein dürfen,
wenn sie für den Vertrag nicht zwingend erforderlich sind.
Viele Formulare enthalten heute noch Felder wie:
Genau hier besteht Handlungsbedarf.
Grundsatz:
Nur Daten, die zwingend erforderlich sind, dürfen Pflichtangaben sein
Alles andere:
freiwillig machen
Stellen Sie sich bei jedem Feld die Frage:
„Brauche ich diese Information wirklich für die Leistung?“
Wenn die Antwort „Nein“ ist:
Unnötige Pflichtfelder bedeuten:
Gleichzeitig wirkt ein schlankes Formular oft auch nutzerfreundlicher.
Das EuGH-Urteil macht deutlich:
Datenschutz heißt: so wenig Daten wie möglich, nicht so viele wie bequem sind
Unternehmen sollten ihre Formulare regelmäßig prüfen und hinterfragen.
Das reduziert Risiko und verbessert gleichzeitig die Nutzererfahrung.
E-Mail-Kommunikation gehört zum Alltag in Unternehmen.
Doch aktuelle Gerichtsentscheidungen zeigen deutlich:
Ein gehackter E-Mail-Account kann schnell zu echten finanziellen und rechtlichen Konsequenzen führen.
Das Landgericht Koblenz hatte folgenden Fall zu entscheiden:
Ein Unternehmer wurde Opfer eines Hacks.
Ein Angreifer verschickte im Namen des Unternehmens eine E-Mail an den Kunden mit geänderter Bankverbindung.
Der Kunde überwies daraufhin insgesamt 11.000 € auf ein fremdes Konto.
Der Kunde ging davon aus, korrekt gezahlt zu haben.
Der Unternehmer hatte jedoch kein Geld erhalten.
Das Gericht entschied:
Ergebnis:
Eine Aufteilung des Schadens (75 % / 25 %)
Begründung:
Auch das Oberlandesgericht Zweibrücken hat eine spannende Entscheidung getroffen.
Eine Immobilienbesitzerin gab ihrem Ehemann Zugriff auf ihren E-Mail-Account.
Dieser nutzte den Zugang, um in ihrem Namen zu handeln.
Das Gericht entschied:
Der Zugriff auf ein E-Mail-Konto kann den Anschein einer Vollmacht begründen
Das bedeutet:
Die Entscheidungen machen eines deutlich:
E-Mail ist längst mehr als nur Kommunikation
Sie ist:
Für Unternehmen ergeben sich daraus klare Risiken:
Datenschutz ist hier nicht nur Theorie, sondern hat direkte wirtschaftliche Auswirkungen.
Die Urteile zeigen:
Digitale Kommunikation schafft echte rechtliche Wirkungen
Wer E-Mail-Sicherheit vernachlässigt, riskiert nicht nur Datenverluste, sondern auch finanzielle Schäden und rechtliche Konsequenzen.
