Immer wieder tauchen neue Betrugsversuche auf, aktuell besonders häufig: täuschend echte E-Mails im Namen des Bundeszentralamt für Steuern (BZSt).
Was dabei auffällt: Die Mails wirken auf den ersten Blick seriös, sind aber gezielt darauf ausgelegt, Unternehmen unter Druck zu setzen.
Typischer Inhalt:
Ein klassisches Beispiel:
„Das Bundeszentralamt für Steuern hat einen Bescheid an Ihre E-Mail-Adresse versendet…“
Diese Mails sind nicht nur Spam, sie sind gezielte Phishing-Angriffe. Achten Sie insbesondere auf:
Wichtig: Das BZSt verschickt keine solchen Bescheide per einfacher E-Mail mit PDF-Anhang.
Solche Angriffe sind nicht nur ein IT-Thema, sondern auch ein Datenschutz-Thema:
Gerade kleinere Unternehmen ohne klare Prozesse sind hier besonders anfällig.
Optional sinnvoll:
Auch das Bundeszentralamt für Steuern selbst warnt offiziell vor dieser Betrugsmasche und stellt Beispiele bereit.
Die Masche ist nicht neu – aber aktuell wieder stark im Umlauf.
Gerade weil die Beträge klein wirken und die Mails professionell aussehen, ist die Gefahr hoch, dass sie im Alltag „durchrutschen“.
Sensibilisierung ist hier der einfachste und effektivste Schutz.
Die Zahl klingt absurd, ist aber Realität:
Fast 2 Milliarden E-Mail-Adressen und rund 1,3 Milliarden Passwörter sind aktuell aus verschiedenen Datenlecks im Umlauf.
Zusammengetragen wurden diese Daten unter anderem von der Plattform Synthient, die Sicherheitsbedrohungen im Internet analysiert.
Für Unternehmen und Selbstständige bedeutet das vor allem eins:
Das Risiko eines unbemerkten Datenmissbrauchs ist aktuell so hoch wie lange nicht.
Die Daten stammen nicht aus einem einzelnen Hack, sondern aus einer Vielzahl bereits bekannter Sicherheitsvorfälle.
Das Problem:
Dadurch sind sie jetzt besonders leicht zugänglich – auch für weniger technisch versierte Angreifer.
Viele Nutzer machen (unbewusst) einen entscheidenden Fehler:
Sie verwenden dieselbe Kombination aus E-Mail-Adresse und Passwort bei mehreren Diensten.
Genau das nutzen Angreifer aus.
Vorgehensweise:
Sobald ein Zugang funktioniert, kann sich der Schaden schnell ausweiten:
Eine der bekanntesten Prüfstellen ist die Plattform
Have I Been Pwned
Dort können Sie einfach Ihre E-Mail-Adresse eingeben und prüfen:
Die Datenbank umfasst mittlerweile über 17 Milliarden Datensätze.
Wenn Sie betroffen sind, oder auf Nummer sicher gehen wollen:
Für Unternehmen zusätzlich wichtig:
Aus Sicht des Datenschutzes ist das Thema besonders kritisch:
Das bedeutet:
IT-Sicherheit und Datenschutz lassen sich hier nicht mehr trennen.
Die aktuelle Entwicklung zeigt einmal mehr:
Nicht der einzelne Hack ist das Problem, sondern die Wiederverwertung alter Daten.
Wer heute noch Passwörter mehrfach nutzt, geht ein unnötig hohes Risiko ein.
Der beste Schutz ist einfach umzusetzen, wird aber oft vernachlässigt.
Die Frage bekommen wir regelmäßig: Wie lange gilt eigentlich eine Einwilligung?
Die ehrliche Antwort: Ganz so einfach ist es leider nicht.
Der Bundesgerichtshof (BGH) hat bereits 2018 entschieden: Eine Einwilligung erlischt grundsätzlich nicht automatisch durch Zeitablauf.
Das bedeutet:
Eine einmal erteilte Einwilligung bleibt erstmal gültig, bis sie widerrufen wird.
Auch verschiedene Oberlandesgerichte haben diese Linie bestätigt.
Klingt erstmal einfach. Ist es aber nicht.
Hier wird es spannend.
Datenschutzbehörden sehen das Ganze deutlich praxisnäher:
Schon die frühere Artikel-29-Datenschutzgruppe (heute Teil des European Data Protection Board) hat empfohlen, Einwilligungen nicht „ewig laufen zu lassen“.
Auch deutsche Behörden vertreten die Auffassung:
Wenn eine Einwilligung lange nicht genutzt wird, kann sie faktisch erlöschen.
Die Gerichte sind sich bei der konkreten Dauer alles andere als einig:
Eine klare Grenze gibt es also nicht.
Entscheidend ist immer die Erwartung der betroffenen Person.
Ein paar typische Beispiele:
Wenn sich jemand für einen Newsletter anmeldet, aber ein Jahr lang nichts erhält,
kann die Einwilligung als „veraltet“ gelten.
Wer in einen Bewerberpool aufgenommen wird,
dessen Daten sollten nach ca. 2 Jahren überprüft oder gelöscht werden.
Je länger nichts passiert, desto eher gilt:
Die Einwilligung ist faktisch nicht mehr wirksam
Sobald eine Einwilligung „erlischt“, greift auch der Grundsatz der Speicherbegrenzung aus der DSGVO:
Daten dürfen nicht länger als notwendig gespeichert werden
Folge:
Die entsprechenden Daten müssen gelöscht werden.
Die Frage „Wie lange ist eine Einwilligung gültig?“ lässt sich nicht pauschal beantworten.
Wer hier sauber arbeitet, vermeidet unnötige Risiken.
Gerade im Marketing und HR-Bereich lohnt sich ein strukturierter Ansatz.
Ein aktuelles Urteil des Europäischer Gerichtshof zeigt deutlich:
Was im Alltag üblich ist, ist datenschutzrechtlich nicht automatisch zulässig.
Im konkreten Fall ging es um eine scheinbar banale Frage:
Darf beim Online-Kauf eines Bahntickets die Angabe des Geschlechts verpflichtend sein?
Die französische Plattform SNCF Connect verlangte beim Ticketkauf die Auswahl zwischen „Herr“ oder „Frau“.
Ein Nutzer hielt das für unzulässig und wandte sich an die französische Datenschutzbehörde (CNIL).
Argument:
Die Angabe sei nicht erforderlich und verstoße gegen die Grundsätze der DSGVO, insbesondere:
Der EuGH bewertet die Situation klar:
Die Abfrage des Geschlechts ist nicht erforderlich für die Vertragserfüllung
→ damit keine zulässige Verarbeitung nach Art. 6 Abs. 1 lit. b DSGVO
Auch ein „berechtigtes Interesse“ greift hier nicht automatisch:
Beides war hier nicht ausreichend gegeben.
Der EuGH stellt klar:
Eine personalisierte Ansprache ist auch ohne Geschlecht möglich
Beispiel:
Damit entfällt ein häufig genutztes Argument für solche Pflichtfelder.
Das Urteil passt zu einer klaren Entwicklung:
Auch das OLG Frankfurt am Main entschied, dass beim Kauf von Bahntickets
E-Mail-Adresse oder Telefonnummer nicht verpflichtend sein dürfen,
wenn sie für den Vertrag nicht zwingend erforderlich sind.
Viele Formulare enthalten heute noch Felder wie:
Genau hier besteht Handlungsbedarf.
Grundsatz:
Nur Daten, die zwingend erforderlich sind, dürfen Pflichtangaben sein
Alles andere:
freiwillig machen
Stellen Sie sich bei jedem Feld die Frage:
„Brauche ich diese Information wirklich für die Leistung?“
Wenn die Antwort „Nein“ ist:
Unnötige Pflichtfelder bedeuten:
Gleichzeitig wirkt ein schlankes Formular oft auch nutzerfreundlicher.
Das EuGH-Urteil macht deutlich:
Datenschutz heißt: so wenig Daten wie möglich, nicht so viele wie bequem sind
Unternehmen sollten ihre Formulare regelmäßig prüfen und hinterfragen.
Das reduziert Risiko und verbessert gleichzeitig die Nutzererfahrung.
E-Mail-Kommunikation gehört zum Alltag in Unternehmen.
Doch aktuelle Gerichtsentscheidungen zeigen deutlich:
Ein gehackter E-Mail-Account kann schnell zu echten finanziellen und rechtlichen Konsequenzen führen.
Das Landgericht Koblenz hatte folgenden Fall zu entscheiden:
Ein Unternehmer wurde Opfer eines Hacks.
Ein Angreifer verschickte im Namen des Unternehmens eine E-Mail an den Kunden mit geänderter Bankverbindung.
Der Kunde überwies daraufhin insgesamt 11.000 € auf ein fremdes Konto.
Der Kunde ging davon aus, korrekt gezahlt zu haben.
Der Unternehmer hatte jedoch kein Geld erhalten.
Das Gericht entschied:
Ergebnis:
Eine Aufteilung des Schadens (75 % / 25 %)
Begründung:
Auch das Oberlandesgericht Zweibrücken hat eine spannende Entscheidung getroffen.
Eine Immobilienbesitzerin gab ihrem Ehemann Zugriff auf ihren E-Mail-Account.
Dieser nutzte den Zugang, um in ihrem Namen zu handeln.
Das Gericht entschied:
Der Zugriff auf ein E-Mail-Konto kann den Anschein einer Vollmacht begründen
Das bedeutet:
Die Entscheidungen machen eines deutlich:
E-Mail ist längst mehr als nur Kommunikation
Sie ist:
Für Unternehmen ergeben sich daraus klare Risiken:
Datenschutz ist hier nicht nur Theorie, sondern hat direkte wirtschaftliche Auswirkungen.
Die Urteile zeigen:
Digitale Kommunikation schafft echte rechtliche Wirkungen
Wer E-Mail-Sicherheit vernachlässigt, riskiert nicht nur Datenverluste, sondern auch finanzielle Schäden und rechtliche Konsequenzen.
