Melden Sie sich zu unserem Newsletter an!

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".

Jetzt anmelden!
Themenreihe Tipps zum VVT

Alle Artikel

Tipps für die Cloud-Nutzung Zuhause

Alle Artikel

Neuigkeiten

01.07.2025

Corporate Influencer – Sichtbar. Authentisch. Aber auch rechtssicher?

Corporate Influencer posieren vor der Kamera für ein Social-Media-Video im Unternehmenskontext
Corporate Influencer gewähren authentische Einblicke in den Arbeitsalltag und stärken die Außenwirkung eines Unternehmens – doch wo beginnt die rechtliche Verantwortung? In diesem Beitrag erfahren Sie, wie Sie Corporate Influencing im Einklang mit DSGVO, Impressumspflicht und Social-Media-Guidelines gestalten.


So machen Sie Ihre Mitarbeitenden zu starken Markenbotschaftern – ohne rechtliche Risiken.

Weiterlesen

01.07.2025

Datenschutz meets Kinderschutz: Was soziale Einrichtungen zum UBSKMG wissen müssen

Entschlossenes Handeln gegen sexuelle Gewalt: Symbolbild für rechtliche Reform.
Mit dem UBSKMG beginnt eine neue Ära im institutionellen Kinderschutz – und soziale Einrichtungen stehen vor tiefgreifenden Veränderungen. Was bedeutet das neue Gesetz konkret? Welche Pflichten ergeben sich für Träger? Und wie gelingt die Umsetzung in der Praxis?

Unser Beitrag liefert Orientierung, zeigt Chancen auf und gibt konkrete Handlungsempfehlungen für einen rechtssicheren Neustart.
Weiterlesen

08.04.2025

Datenschutz im Wandel: Austausch zum kirchlichen Datenschutz

Vortrag beim Treffen der betrieblichen Datenschutzbeauftragten der deutschen Diözesen im Katholisch-Sozialen Institut in Siegburg am 26.–27. März 2025; Präsentation mit dem Titel „Datenschutz im Wandel“, Redner steht am Pult vor Publikum.
Am 26. und 27. März fand das erste bundesweite Treffen der betrieblichen Datenschutzbeauftragten aller deutschen Diözesen statt. Insgesamt 45 Teilnehmende aus nahezu allen Diözesen sowie die Diözesandatenschutz-beauftragten der fünf Aufsichten nahmen teil.

Welche Themen diskutiert wurden und welche Impulse die Teilnehmenden mitnahmen, erfahren Sie in diesem Beitrag.
Weiterlesen

08.04.2025

Invoice Fraud verhindern:
E-Rechnungen sicher versenden

Symbolbild zur Digitalisierung von Rechnungen: Eine Hand hält eine digitale Pfeilgrafik zwischen einem Klemmbrett mit Papierrechnung (links) und einem Tablet mit elektronischer Rechnung (rechts), Darstellung des Übergangs von analoger zu digitaler Rechnungsverarbeitung.
Invoice Fraud – der Betrug mit manipulierten Rechnungen – hat sich in den letzten Jahren zu einer ernstzunehmenden Herausforderung für Unternehmen entwickelt.
Ein aktuelles Urteil des OLG Schleswig wirft grundlegende Fragen zur technischen Machbarkeit, rechtlichen Angemessenheit und zu alternativen Schutzmaßnahmen auf.

Wir beleuchten die diversen Aspekte und geben Handlungsempfehlungen.
Weiterlesen

18.02.2025

Cyberrisiken 2025: Wachsende Bedrohungen und notwendige Schutzmaßnahmen

Ein Laptop steht auf einem Schreibtisch, und auf seinem Bildschirm sind digitale Vorhängeschlösser mit vernetzten Linien dargestellt, die für Cyber-Sicherheit und Datenschutz stehen. Im Vordergrund hält eine Hand einen Stift, während eine andere Person im Hintergrund ein Smartphone benutzt. Die Szene vermittelt ein Thema rund um IT-Sicherheit, Datenverschlüsselung und digitale Schutzmaßnahmen.
Die digitale Bedrohungslage verschärft sich weiter – das zeigt das aktuelle Allianz Risk Barometer 2025. Besonders Deutschland steht vor signifikanten Herausforderungen, denn Cybervorfälle sind weiterhin das größte Geschäftsrisiko.

Wir zeigen auf, welche Bedrohungen laut dem Barometer zu den meist gefürchteten gehören und was Organisationen dagegen unternehmen können.
Weiterlesen

18.02.2025

KI-Kompetenz aufbauen: Herausforderungen und Lösungsansätze

Ein humanoider Roboter mit einem weißen, futuristischen Design steht in einem modernen, lichtdurchfluteten Raum. Der Roboter hat eine nachdenkliche Pose, mit einer Hand am Kinn, als würde er überlegen.
In der sich rasant entwickelnden Welt der künstlichen Intelligenz rückt ein Begriff zunehmend in den Mittelpunkt: KI-Kompetenz. Mit dem Inkrafttreten der neuen KI-Verordnung am 2. Februar 2025 wird diese Kompetenz nicht nur wichtig, sondern zur Pflicht für Unternehmen, die KI-Systeme einsetzen wollen.

Wir beleuchten die Anforderungen, Herausforderungen und Chancen, die sich aus der Notwendigkeit einer ausgeprägten KI-Kompetenz ergeben.
Weiterlesen

16. Janur 2025

Grundrecht und Praxis: Das Briefgeheimnis am Arbeitsplatz

Ein gelbes Postfahrrad steht auf einer nassen Straße. Auf der großen gelben Transportbox des Fahrrads ist das Logo der Post zu sehen. Neben dem Fahrrad steht eine Person in einer dunklen Arbeitsuniform, von der nur die Beine sichtbar sind. Die Szenerie wirkt wie ein typischer Zustellmoment bei Regenwetter oder nach einem Regenschauer.

Die Kommunikation in Unternehmen ist vielfältig:Briefe, E-Mails, Pakete und Nachrichten. Doch wie viel Schutz genießen diese Kommunikationswege?

Das Briefgeheimnis, verankert in Artikel 10 des Grundgesetzes, schützt private schriftliche Mitteilungen vor unbefugtem Zugriff. Auch in Organisationen spielt dieses Grundrecht eine entscheidende Rolle, um persönliche und rechtliche Grenzen zu wahren.

Weiterlesen

16. Janur 2025

Compliance: Der Beitrag von Informationssicherheits-Beauftragten

Zwei Frauen sitzen an einem Schreibtisch in einem modernen Büro. Die Frau auf der linken Seite zeigt mit einem Stift auf einen Computerbildschirm, während sie der Frau rechts etwas erklärt. Beide scheinen konzentriert und engagiert zu sein. Auf dem Schreibtisch befinden sich Büroartikel wie ein Laptop, eine Tastatur, ein Mauspad und ein Behälter mit Stiften. Im Hintergrund sind Glaswände, Büros und andere Arbeitsbereiche sichtbar, was auf eine professionelle Arbeitsumgebung hinweist.

Die digitale Transformation und die wachsende Abhängigkeit von Technologien haben Informationssicherheit zu einem entscheidenden Faktor für Unternehmen und Institutionen gemacht.

Doch wer ist verantwortlich dafür, dass Informationen geschützt und Sicherheitsmaßnahmen konsequent umgesetzt werden? Hier kommen Informationssicherheitsbeauftragte – kurz ISB – ins Spiel.

Weiterlesen

10. Dezember 2024

Das neue Outlook: Fortschritt oder Datenschutz-Albtraum?

Ein Smartphone-Bildschirm zeigt eine Sammlung von Microsoft-Apps in einem Ordner. Zu den sichtbaren App-Symbolen gehören Authenticator, Edge, Excel, Microsoft Stream, Office, OneNote, Outlook, PowerPoint, SharePoint, Teams, Word und OneDrive. Im Hintergrund ist der Text „Microsoft“ leicht verschwommen zu sehen. Der Bildschirm liegt in einem schrägen Winkel, wodurch die Icons prominent hervorgehoben werden.

Microsoft drängt immer stärker auf die Nutzung seines neuen Outlooks, das bald das klassische Outlook ersetzen soll. Ab Januar 2025 erfolgt die automatische Umstellung bei Business-Kund:innen mit Microsoft-365-Lizenzen.Doch der Preis für diese Innovationen könnte hoch sein.

Denn das neue Outlook steht massiv in der Kritik – insbesondere wegen der umfangreichen Datensammlung, die mit der Nutzung einhergeht.Daher müssen Admins und Datenschutzbeauftragte jetzt aktiv werden.

Weiterlesen

10. Dezember 2024

FAQ zum Auskunftsersuchen


Eine flache Anordnung mit einer geöffneten Notizbuchseite und einem goldenen Stift darauf, umgeben von vier ausgeschnittenen Sprechblasen aus Karton in verschiedenen Formen und Farben, die jeweils ein Fragezeichen in der Mitte enthalten. Der Hintergrund ist in einem warmen Braunton gehalten.

Das Auskunftsersuchen ist ein zentrales Betroffenenrecht, um weitere Rechte in Anspruch zu nehmen. Verantwortliche stellt es allerdings regelmäßig vor Herausforderungen. Je nach Art und Menge der Verarbeitungen kann die Beantwortung einen enormen Aufwand darstellen.

Wir zeigen, wie de Beantwortung gelingt.

Weiterlesen

12. November 2024

Open-Source-Software: Der Schlüssel zu mehr Datenschutz und IT-Sicherheit?

Auf dem Bild ist ein Laptop zu sehen, dessen Bildschirm in einem dunklen Raum leuchtet und mit Programmiercode gefüllt ist. Der Bildschirm ist in zwei Spalten unterteilt, die beide verschiedenfarbigen Code in einer Entwicklungsumgebung anzeigen. Der Code enthält unterschiedliche Farbakzente, die auf Syntax-Highlighting hinweisen, um verschiedene Elemente wie Schlüsselwörter, Variablen und Funktionen hervorzuheben. Die Tastatur des Laptops ist ebenfalls beleuchtet und hebt sich durch die Reflexion des Bildschirms ab. Das Bild vermittelt den Eindruck von intensiver Programmierarbeit oder Code-Analyse.

Inmitten wachsender Bedrohungen und strengerer Datenschutzbestimmungen tritt Open-Source-Software (OSS) zunehmend als interessante Alternative auf.Anders als bei herkömmlicher Software sind die Quellcodes von Open-Source-Lösungen offen einsehbar.

Doch birgt diese Transparenz nicht auch Risiken?Und wie steht es um die Sicherheit von Open-Source-Programmen, wenn potenzielle Angreifer genauso Zugriff auf den Quellcode haben?

Weiterlesen

12. November 2024

Datenschutz als Wettbewerbsvorteil: So planen Sie Ihr Budget für 2025

Auf dem Bild sieht man eine Person, die an einem Schreibtisch sitzt und mit Finanzunterlagen arbeitet. Sie benutzt einen Taschenrechner und hält einen Stift in der Hand, während verschiedene Berichte und Diagramme auf dem Tisch verteilt sind. Die Berichte zeigen Balken- und Kreisdiagramme sowie Tabellen. Neben den Unterlagen liegt ein Smartphone, und eine Tasse steht am rechten Bildrand. Die Person trägt eine Uhr am linken Handgelenk und ein hellblaues Hemd. Das Bild vermittelt den Eindruck von analytischer Arbeit oder Finanzplanung.

Stellen Sie sich vor, Ihre Organisation gerät ins Stocken, weil das Budget für Datenschutzmaßnahmen nicht ausreicht. Datenschutz ist nicht nur eine gesetzliche Anforderung, sondern zunehmend ein entscheidender Faktor für Vertrauen und Wettbewerbsfähigkeit.

Wer jetzt die Budgetplanung für 2025 strategisch angeht, schafft sich nicht nur finanziellen Spielraum, sondern auch die nötige Sicherheit, um auf neue Anforderungen flexibel reagieren zu können.

Weiterlesen

08. Oktober 2024

Einwilligungsverwaltungs-Verordnung: Ein Schritt gegen die Cookie-Flut

Person schreibt an einem Laptop

Die Einwilligungsverwaltungs-Verordnung, die kürzlich vom Bundeskabinett auf Vorschlag des Bundesministeriums für Digitales und Verkehr (BMDV) beschlossen wurde, markiert einen wichtigen Wendepunkt im digitalen Datenschutz.

Doch die Verordnung stößt auch auf Kritik. Verbraucherschützer:innen und Datenschützer:innen bemängeln, dass die neue Regelung den gewünschten Effekt möglicherweise nicht vollständig erreicht.

Weiterlesen

08. Oktober 2024

Gefahr von innen: Wie Insider Bedrohungen den Datenschutz gefährden

Person mit Kapuze nutzt ein Fernglas, während sie hinter einer Wand hervorschaut

Laut einer aktuellen Studie gaben 69 % der Unternehmen an, in den letzten zwölf Monaten mindestens eine versuchte oder erfolgreiche Insider Bedrohung erlebt zu haben. Diese Bedrohungen stellen eine erhebliche Gefahr dar und sind besonders schwer zu entdecken.

Unternehmen stehen daher vor der Herausforderung, nicht nur externe Angriffe, sondern auch interne Sicherheitsrisiken effektiv abzuwehren.

Weiterlesen

10. September 2024

Datenschutz und digitale Arbeitszeiterfassung: Ihre Pflichten und Chancen

Dieses Bild zeigt einen modernen Schreibtisch, auf dem sich ein Laptop, ein externer Monitor, eine Schreibtischlampe und verschiedene Schreibtischutensilien befinden. Der Laptop und der Monitor zeigen beide eine große digitale Uhrzeit (08:02:47) auf schwarzem Hintergrund an. Auf dem Schreibtisch steht außerdem eine kleine Holzkiste mit einer Schere, einem Stift und einem Lineal, sowie ein orangefarbenes Objekt neben dem Laptop. Die Szene wirkt gut organisiert und minimalistisch. Im Hintergrund sind eine Pflanze und ein Telefon zu sehen, die den Arbeitsplatz vervollständigen.

Seit der Entscheidung des Europäischen Gerichtshofs (EuGH) im Jahr 2019 und dem Grundsatzurteil des Bundesarbeitsgerichts (BAG) von 2022 sind Unternehmen in Deutschland verpflichtet, die Arbeitszeiten ihrer Mitarbeitenden genau zu erfassen. Viele Unternehmen warten jedoch noch auf die finale Anpassung des Arbeitszeitgesetzes.

Dabei ist es ratsam, die digitale Arbeitszeiterfassung bereits jetzt einzuführen, um rechtliche Risiken zu vermeiden.

Weiterlesen

10. September 2024

Sicherheitsvorfälle bei CrowdStrike & Microsoft: Der Ruf nach einem IT-Notfallplan

Das Bild zeigt einen aufgeräumten Schreibtisch mit verschiedenen Arbeitsmaterialien, die für die Erstellung eines IT-Notfallplans verwendet werden könnten. Auf dem Tisch liegen mehrere Notizzettel mit handgezeichneten Skizzen und Diagrammen, die möglicherweise Schritte eines IT-Notfallplans darstellen. Um die Zettel herum sind Bleistifte, ein Radiergummi, ein Smartphone, eine Schere, Klebeband und einige Stifte angeordnet. Die sorgfältig platzierten Gegenstände und Notizen deuten auf eine organisierte und strategische Herangehensweise bei der Planung hin.

Auf Millionen von Bildschirmen war er zu sehen: der gefürchtete Blue Screen of Death. Ein fehlerhaftes Update der Sicherheitssoftware CrowdStrike Falcon verursachte den bislang größten IT-Ausfall der Geschichte. Gleichzeitig sind bei Microsoft die Ausmaße eines Cyberangriffs bekannt geworden.

Diese Vorfälle zeigen, wie wichtig es ist, vorbereitet zu sein. Die Antwort: ein IT-Notfallplan.

Weiterlesen

13. August 2024

M365, EDSB und Europäische Kommission: Eine Kontroverse mit weitreichenden Folgen

Mehrere europäische Flaggen wehen im Wind vor einem modernen Gebäude mit einer Glasfassade. Die Flaggen sind blau mit gelben Sternen, die den Kreis der Europäischen Union symbolisieren. Die Fahnenmasten sind in einer Reihe aufgestellt und ragen in die Höhe. Im Hintergrund ist die geschwungene Glasarchitektur des Gebäudes zu sehen, die dem Bild eine dynamische und internationale Atmosphäre verleiht.

Am 11. März 2024 erschütterte eine Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) die digitale Landschaft der EU: Die Europäische Kommission hat bei der Nutzung von Microsoft 365 (M365) gegen geltende Datenschutzbestimmungen verstoßen.

Nun setzt sich die Kommission zur Wehr und verklagt den EDSB – gemeinsam mit Microsoft.

Weiterlesen

13. August 2024

Datenschutz für Auszubildende: Eine Investition in die Zukunft

Eine rothaarige Frau in einem ärmellosen schwarzen Top steht vor einem Whiteboard und lächelt, während sie mit einer anderen Person spricht, die im Vordergrund mit dem Rücken zur Kamera steht. Die Frau am Whiteboard hält einen Marker in der Hand und scheint eine Erklärung oder Präsentation zu geben. Auf dem Whiteboard sind einige Wörter und Diagramme zu sehen, die jedoch nicht vollständig lesbar sind. Die Stimmung ist freundlich und professionell.

Wer denkt bei Datenschutz an die Auszubildenden? Gerade sie, als neue und oft junge Mitarbeitende haben häufig Zugang zu sensiblen Daten, ohne sich der Tragweite ihres Handelns bewusst zu sein.

Wie können wir sicherstellen, dass unsere Azubis von Anfang an fit im Datenschutz sind und welche Rolle spielen dabei gezielte Schulungen?

Weiterlesen

09. JULI 2024

Die Debatte um die Chatkontrolle: Sicherheit versus Privatsphäre

Eine lächelnde Frau in einem gelben Pullover sitzt an einem Schreibtisch und hält ein Smartphone in der Hand. Über dem Smartphone sind Chat-Symbole mit Sprechblasen zu sehen. In ihrer anderen Hand hält sie eine weiße Tasse. Im Hintergrund sind verschwommene Büroregale zu erkennen. Dieses Bild symbolisiert das Konzept der Chatkontrolle, bei dem Nachrichten auf mobilen Geräten überwacht und verwaltet werden.

Die Chatkontrolle ist eines der aktuell kontroversesten Themen in der EU. Bereits seit 2020 wird intensiv darüber gesprochen, wie digitale Kommunikation überwacht werden kann, um den sexuellen Missbrauch von Kindern zu verhindern.Das hätte jedoch weitreichende Implikationen für die Privatsphäre und die Datenschutzrechte der Nutzenden.

Obwohl die Abstimmung verschoben ist, ist das Thema noch lange nicht vom Tisch.

Weiterlesen

09. Juli 2024

Warum, wie und wo? – FAQ zur E-Mail-Archivierung

Das Bild zeigt ein Regal mit farblich sortierten Ordnern, die in einem Büro aufbewahrt werden. Die oberen Reihen enthalten grüne, blaue und gelbe Ordner, während die unteren Reihen graue und blaue Ordner enthalten. Diese Anordnung symbolisiert eine systematische E-Mail-Archivierung, bei der E-Mails organisiert gespeichert werden, um die Verwaltung und den Zugriff zu erleichtern.

E-Mails sind schnell verschickt, weg sortiert oder gelöscht. Doch: Auch bei manchen E-Mails besteht eine Aufbewahrungspflicht. Hier kann eine E-Mail-Archivierung Abhilfe schaffen.

Welche Vorschriften müssen beachtet werden und welche Vorgaben ergeben sich daraus? Reicht ein Backup aus? Die Antworten erhalten Sie in unserem FAQ.

Weiterlesen

11. Juni 2024

Die NIS2-Richtlinie: Erhöhte Cybersicherheitsstandards für 30.000 deutsche Unternehmen

Eine abstrakte Darstellung eines digitalen Netzwerks mit blauen und violetten Kacheln, die wie ein Raster angeordnet sind. Im Zentrum befindet sich eine Kachel mit einem silbernen Vorhängeschloss, das Datensicherheit symbolisiert. Das Bild repräsentiert die "NIS2-Richtlinie", welche die Sicherheit von Netz- und Informationssystemen innerhalb der Europäischen Union stärken soll.

Mit der NIS2-Richtlinie (Netz- und Informationssicherheit) hat die Europäische Union eine umfassende Regelung verabschiedet, die die Cybersicherheit in der gesamten EU stärken soll.Dafür wurde auch der Anwendungsbereich ausgeweitet – mit Folgen: Fast 30.000 Betriebe in Deutschland müssen jetzt die neuen Vorgaben der NIS2 umsetzen.

Weiterlesen

11. Juni 2024

Datenschutz im Konzern: Was Sie über das kleine Konzernprivileg wissen müssen

Ein modernes Bürogebäude mit Panoramafenstern und Blick auf die Skyline einer Stadt. Drei Geschäftsleute in Anzügen sind im Bild zu sehen: Einer sitzt und zwei stehen, während sie auf die Stadt hinausschauen. Im Hintergrund sind markante Wolkenkratzer zu erkennen. Das Bild symbolisiert das "kleine Konzernprivileg" und zeigt die Exklusivität und die Vorteile, die mit der Arbeit in einem großen Unternehmen verbunden sind.

Ein umfassendes Konzernprivileg ist in der DSGVO nicht vorgesehen. Dennoch gibt es gewisse Erleichterungen für den internen Datenaustausch innerhalb einer Unternehmensgruppe – das sogenannte kleine Konzernprivileg.

Doch was genau verbirgt sich hinter diesem Begriff? Welche rechtlichen Rahmenbedingungen müssen dabei beachtet werden?

Weiterlesen

14. mai 2024

Kiffen erlaubt, Sicherheit gefordert: Cannabis, Arbeitssicherheit und Datenschutz

Hand hält Cannabis-Pflanze vor Feld

Das Cannabis-Gesetz schlägt Wellen, die auch das Berufsleben erreicht haben. Während diese Neuregelung für viele eine Befreiung bedeutet, wirft sie zugleich bedeutende Fragen in Bezug auf die Arbeitsplatzsicherheit und Datenschutz auf.

Hier ergeben sich datenschutzrechtliche Bedenken – auch über den Arbeitskontext hinaus.

Weiterlesen

14. Mai 2024

Der EuGH klärt auf: Schadenersatzansprüche und die DSGVO

Zwei Personen schütteln über einem Vertrag Hände

Immer wieder ist von Rekordbußgeldern die Rede. Doch auch Schadenersatzansprüche nach der DSGVO sind nicht zu vernachlässigen. Denn grundsätzlich besteht ein Anspruch auf Schadenersatz.

Rechtlich ergeben sich rund um diesen Anspruch allerdings viele Fragen. Einiges klärt eine Entscheidung des EuGH.

Weiterlesen

14. Mai 2024

Ist Faxen datenschutzkonform möglich?

Person bedient Faxgerät

Gerade in Kanzleien, Behörden und im Gesundheitsbereich werden Faxe noch sehr regelmäßig eingesetzt. Das Problem: In punkto Faxen und Datenschutzkonformität gehen die Meinungen auseinander.

Ist Faxen denn nun datenschutzkonform möglich? Die Antwort lautet – wie nur allzu oft im Datenschutz: Es kommt darauf an.

Weiterlesen
Unklares Angriffsszenario: Wurde die E-Mail wirklich abgefangen?
Die zentrale Annahme des OLG, die E-Mail sei auf dem Transportweg abgefangen worden, erscheint technisch zweifelhaft. Nach Einschätzung von IT-Sicherheitsexperten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfolgen die meisten Fälle von Invoice Fraud nicht durch das Abfangen während des Transports (was durch TLS-Verschlüsselung verhindert würde). Bei Verwendung moderner TLS-Versionen (1.2/1.3) mit korrekter Konfiguration bietet die Transportverschlüsselung bereits einen sehr wirksamen Schutz während des Versendevorgangs.

Die meisten Fälle von Invoice Fraud erfolgen stattdessen vielmehr z.B. durch:
  • Zugriff auf E-Mail-Postfächer durch gestohlene Zugangsdaten (Account-Takeover)
  • Social Engineering gegen Mitarbeiter der Buchhaltung
  • Manipulation von bereits im Postfach befindlichen Dokumenten
Die fehlende Verhältnismäßigkeit
Ein weiterer Punkt, der die allgemeine Anwendbarkeit/Bedeutung des Urteils infrage stellt, ist die Tatsache, dass das OLG die Rechnung über knapp 15.400 Euro pauschal als "hohes finanzielles Risiko" einstuft – ohne diese Schwelle näher zu definieren. Im Geschäftsleben sind Rechnungen in dieser Größenordnung keineswegs ungewöhnlich. Eine solche Einordnung würde bedeuten, dass ein erheblicher Teil der Geschäftskommunikation Ende-zu-Ende-verschlüsselt erfolgen müsste.

Dies kollidiert mit der betrieblichen Realität:
  • Nur ein kleiner Teil der deutschen Unternehmen nutzt routinemäßig Ende-zu-Ende-Verschlüsselung.
  • Dies liegt nicht zuletzt daran, dass die technische Implementierung von Verschlüsselungen wie PGP oder S/MIME ein spezialisiertes Know-how und eine aufwändige Schlüsselverwaltung sowie eine individuelle Absprache zwischen den Geschäftspartnern erfordert. Denn ohne diese Vereinbarungen sind viele Empfänger sind nicht in der Lage, derartig verschlüsselte E-Mails zu empfangen.
  • Hinzu kommt, dass die Interoperabilität zwischen verschiedenen E-Mail-Systemen bei Ende-zu-Ende-Verschlüsselung oft problematisch ist. E-Mail-Dienste verwenden verschiedene Standards wie S/MIME oder OpenPGP, die nicht miteinander kompatibel sind. Zusätzlich müssen sie sicherstellen, dass der Empfänger kompatible Verschlüsselungssoftware verwendet und Zertifikate ausgetauscht wurden.
Rechtliche Einordnung: DSGVO überhaupt anwendbar?
Neben der zweifelhaften technischen Einschätzung weist das Urteil auch aus rechtlicher Sicht Schwächen auf:

  • Die DSGVO ist in dem konkreten Fall nicht direkt anwendbar: Im Fall ging es primär um die Manipulation der Bankverbindung des Unternehmers, nicht um personenbezogene Daten des Kunden. Der ursächliche Missbrauch betraf die IBAN des Unternehmens – der Schutzbereich der DSGVO ist hier eigentlich gar nicht berührt.
  • Kausalitätsproblem: Unabhängig davon hat das Gericht auch nicht geklärt, wo und wie die Manipulation stattfand. Dies wäre jedoch für die rechtliche Bewertung entscheidend gewesen. Ein Schadensersatzanspruch nach Art. 82 DSGVO setzt voraus, dass der Schaden kausal durch den Datenschutzverstoß verursacht wurde. Diese Kausalität wurde vom OLG weder geprüft noch vom Anspruchsberechtigten bewiesen, obwohl dies seine Pflicht gewesen wäre.
  • Übersehenes Mitverschulden: Nicht beachtet wurde auch, dass die manipulierte Rechnung zahlreiche Auffälligkeiten aufwies, die dem Kunden hätten auffallen können und müssen, da bereits zuvor gleichartige Rechnungen mit einer anderen Kontonummer bezahlt worden waren und es mehrere fehlende Elemente und Ungereimtheiten gab, die eine Nachfrage erfordert hätten.
Schutzziele verkannt: umfassender Schutz der Daten im gesamten Prozess
Durch die fehlerhaft unterlassene Aufklärung, wie und wo die Rechnung verändert wurde, hat das OLG dann auch leider die wesentlichen Schutzziele der DSGVO und damit ein für den Einzelfall angemessenes Schutzniveau der Daten im gesamten Rechnungslauf überhaupt nicht geprüft.

Sowohl im Datenschutz als auch im Bereich der IT-Sicherheit heißen die drei grundlegenden Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit.

Im Fall einer E-Rechnung heißt dies:

  • Vertraulichkeit erfordert einen angemessenen Schutz der Daten vor unbefugtem Zugriff während des Transports und in der Speicherung. Die Daten können nicht von Unbefugten gelesen werden.
  • Integrität: erfordert die Sicherstellung, dass die Rechnung nicht unbefugt nachträglich geändert wird. Damit wird zugleich die Authentizität des Dokuments und die klare Zurechenbarkeit zum Absender gewährleistet.
  • Verfügbarkeit: garantiert, dass die Rechnung gegen Verlust oder Vernichtung durch entsprechende Sicherungs- und Backup-Lösungen geschützt und somit dem Empfänger vom Aussteller ggf. auch erneut zur Verfügung gestellt werden kann.

Wie ausgeführt schützt eine Verschlüsselung zwar den Transportweg bis zum Endgerät und damit die Vertraulichkeit, garantiert aber weder die Authentizität noch Integrität der Rechnung. Hierbei hilft die Ende-zu-Ende-Verschlüsselung letztlich nicht weiter, da sie weder die Richtigkeit der Rechnung beim Versand, noch die Richtigkeit nach der Entschlüsselung auf dem Endgerät gewährleisten kann und will.

Eine wesentlich praxistauglichere Möglichkeit gegenüber der Ende-zu-Ende-Verschlüsselung wird dabei vom OLG nicht einmal thematisiert: die Technologie der digitalen Signatur. Eine qualifizierte elektronische Signatur (QES) nach eIDAS-Verordnung hätte im konkreten Fall tatsächlich Schutz geboten:

  • Sie garantiert die Integrität des Dokuments – jede nachträgliche Änderung wäre erkennbar gewesen.
  • Sie bestätigt zudem die Authentizität des Absenders.
  • Sie ist rechtlich einer handschriftlichen Unterschrift gleichgestellt.
Im Gegensatz zur Verschlüsselung schützt eine Signatur auch vor Manipulationen, da die Signatur durch jede Veränderung ungültig wird. Die Buchhaltung hätte die gefälschte Kontonummer sofort erkannt, wenn sie die Signatur überprüft hätte.

Digitale Signaturen basieren auf asymmetrischer Kryptographie, bei der der Absender ein Dokument mit seinem privaten Schlüssel signiert. Der Empfänger kann dann mit dem öffentlichen Schlüssel des Absenders verifizieren, dass das Dokument tatsächlich vom angegebenen Absender stammt und nach der Signierung nicht verändert wurde.

Die eIDAS-Verordnung der EU definiert verschiedene Sicherheitsstufen für elektronische Signaturen, von der einfachen elektronischen Signatur bis zur qualifizierten elektronischen Signatur, die rechtlich einer handschriftlichen Unterschrift gleichgestellt ist. Für Rechnungen empfiehlt sich daher mindestens eine fortgeschrittene elektronische Signatur, idealerweise jedoch eine qualifizierte elektronische Signatur.

Ein praktischer Vorteil: Während nur ein Bruchteil der deutschen Unternehmen routinemäßig Ende-zu-Ende-Verschlüsselung nutzen, setzen deutlich mehr digitale Signaturen ein. Die Implementierung erfordert zudem weniger technisches Know-how und ist mit standardisierten Zertifikaten vergleichsweise einfach umzusetzen. Rechtlich sind Signaturen durch die eIDAS-Verordnung klar geregelt und anerkannt, während die vom OLG geforderte Verschlüsselungspflicht umstritten bleibt.

Insofern zeigt dieses Beispiel, dass es unerlässlich ist, sich den Prozess als Ganzes anzusehen. Die Kernaspekte bei E-Mail-Rechnungen sind:

  • Schutzziele variieren: Verschlüsselung sichert Vertraulichkeit, Signaturen garantieren Integrität. Maßnahmen müssen stets nach dem konkreten Schutzziel geprüft und getrennt betrachtet werden.
  • E-Rechnungspflicht ist kein Schutz: Auch elektronische Formate wie XRechnung oder ZUGFeRD bieten keinen inhärenten Schutz vor Betrug. Gegenüber Verbrauchern dürfen weiterhin PDFs versendet werden, die manipulierbar bleiben.
  • Praktische Prävention: Bei geänderten Bankverbindungen immer telefonisch nachfragen und bestätigte Konten in einer internen Liste speichern. So können Sie Manipulationen früh erkennen.
Wichtig ist also zu verstehen, dass digitale Signaturen und Verschlüsselung unterschiedliche Schutzziele verfolgen und einander ergänzen.
Unklares Angriffsszenario: Wurde die E-Mail wirklich abgefangen?
Die zentrale Annahme des OLG, die E-Mail sei auf dem Transportweg abgefangen worden, erscheint technisch zweifelhaft. Nach Einschätzung von IT-Sicherheitsexperten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfolgen die meisten Fälle von Invoice Fraud nicht durch das Abfangen während des Transports (was durch TLS-Verschlüsselung verhindert würde). Bei Verwendung moderner TLS-Versionen (1.2/1.3) mit korrekter Konfiguration bietet die Transportverschlüsselung bereits einen sehr wirksamen Schutz während des Versendevorgangs.

Die meisten Fälle von Invoice Fraud erfolgen stattdessen vielmehr z.B. durch:
  • Zugriff auf E-Mail-Postfächer durch gestohlene Zugangsdaten (Account-Takeover)
  • Social Engineering gegen Mitarbeiter der Buchhaltung
  • Manipulation von bereits im Postfach befindlichen Dokumenten
Die fehlende Verhältnismäßigkeit
Ein weiterer Punkt, der die allgemeine Anwendbarkeit/Bedeutung des Urteils infrage stellt, ist die Tatsache, dass das OLG die Rechnung über knapp 15.400 Euro pauschal als "hohes finanzielles Risiko" einstuft – ohne diese Schwelle näher zu definieren. Im Geschäftsleben sind Rechnungen in dieser Größenordnung keineswegs ungewöhnlich. Eine solche Einordnung würde bedeuten, dass ein erheblicher Teil der Geschäftskommunikation Ende-zu-Ende-verschlüsselt erfolgen müsste.

Dies kollidiert mit der betrieblichen Realität:
  • Nur ein kleiner Teil der deutschen Unternehmen nutzt routinemäßig Ende-zu-Ende-Verschlüsselung.
  • Dies liegt nicht zuletzt daran, dass die technische Implementierung von Verschlüsselungen wie PGP oder S/MIME ein spezialisiertes Know-how und eine aufwändige Schlüsselverwaltung sowie eine individuelle Absprache zwischen den Geschäftspartnern erfordert. Denn ohne diese Vereinbarungen sind viele Empfänger sind nicht in der Lage, derartig verschlüsselte E-Mails zu empfangen.
  • Hinzu kommt, dass die Interoperabilität zwischen verschiedenen E-Mail-Systemen bei Ende-zu-Ende-Verschlüsselung oft problematisch ist. E-Mail-Dienste verwenden verschiedene Standards wie S/MIME oder OpenPGP, die nicht miteinander kompatibel sind. Zusätzlich müssen sie sicherstellen, dass der Empfänger kompatible Verschlüsselungssoftware verwendet und Zertifikate ausgetauscht wurden.
Rechtliche Einordnung: DSGVO überhaupt anwendbar?
Neben der zweifelhaften technischen Einschätzung weist das Urteil auch aus rechtlicher Sicht Schwächen auf:

  • Die DSGVO ist in dem konkreten Fall nicht direkt anwendbar: Im Fall ging es primär um die Manipulation der Bankverbindung des Unternehmers, nicht um personenbezogene Daten des Kunden. Der ursächliche Missbrauch betraf die IBAN des Unternehmens – der Schutzbereich der DSGVO ist hier eigentlich gar nicht berührt.
  • Kausalitätsproblem: Unabhängig davon hat das Gericht auch nicht geklärt, wo und wie die Manipulation stattfand. Dies wäre jedoch für die rechtliche Bewertung entscheidend gewesen. Ein Schadensersatzanspruch nach Art. 82 DSGVO setzt voraus, dass der Schaden kausal durch den Datenschutzverstoß verursacht wurde. Diese Kausalität wurde vom OLG weder geprüft noch vom Anspruchsberechtigten bewiesen, obwohl dies seine Pflicht gewesen wäre.
  • Übersehenes Mitverschulden: Nicht beachtet wurde auch, dass die manipulierte Rechnung zahlreiche Auffälligkeiten aufwies, die dem Kunden hätten auffallen können und müssen, da bereits zuvor gleichartige Rechnungen mit einer anderen Kontonummer bezahlt worden waren und es mehrere fehlende Elemente und Ungereimtheiten gab, die eine Nachfrage erfordert hätten.
Schutzziele verkannt: umfassender Schutz der Daten im gesamten Prozess
Durch die fehlerhaft unterlassene Aufklärung, wie und wo die Rechnung verändert wurde, hat das OLG dann auch leider die wesentlichen Schutzziele der DSGVO und damit ein für den Einzelfall angemessenes Schutzniveau der Daten im gesamten Rechnungslauf überhaupt nicht geprüft.

Sowohl im Datenschutz als auch im Bereich der IT-Sicherheit heißen die drei grundlegenden Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit.

Im Fall einer E-Rechnung heißt dies:

  • Vertraulichkeit erfordert einen angemessenen Schutz der Daten vor unbefugtem Zugriff während des Transports und in der Speicherung. Die Daten können nicht von Unbefugten gelesen werden.
  • Integrität: erfordert die Sicherstellung, dass die Rechnung nicht unbefugt nachträglich geändert wird. Damit wird zugleich die Authentizität des Dokuments und die klare Zurechenbarkeit zum Absender gewährleistet.
  • Verfügbarkeit: garantiert, dass die Rechnung gegen Verlust oder Vernichtung durch entsprechende Sicherungs- und Backup-Lösungen geschützt und somit dem Empfänger vom Aussteller ggf. auch erneut zur Verfügung gestellt werden kann.

Wie ausgeführt schützt eine Verschlüsselung zwar den Transportweg bis zum Endgerät und damit die Vertraulichkeit, garantiert aber weder die Authentizität noch Integrität der Rechnung. Hierbei hilft die Ende-zu-Ende-Verschlüsselung letztlich nicht weiter, da sie weder die Richtigkeit der Rechnung beim Versand, noch die Richtigkeit nach der Entschlüsselung auf dem Endgerät gewährleisten kann und will.

Eine wesentlich praxistauglichere Möglichkeit gegenüber der Ende-zu-Ende-Verschlüsselung wird dabei vom OLG nicht einmal thematisiert: die Technologie der digitalen Signatur. Eine qualifizierte elektronische Signatur (QES) nach eIDAS-Verordnung hätte im konkreten Fall tatsächlich Schutz geboten:

  • Sie garantiert die Integrität des Dokuments – jede nachträgliche Änderung wäre erkennbar gewesen.
  • Sie bestätigt zudem die Authentizität des Absenders.
  • Sie ist rechtlich einer handschriftlichen Unterschrift gleichgestellt.
Im Gegensatz zur Verschlüsselung schützt eine Signatur auch vor Manipulationen, da die Signatur durch jede Veränderung ungültig wird. Die Buchhaltung hätte die gefälschte Kontonummer sofort erkannt, wenn sie die Signatur überprüft hätte.

Digitale Signaturen basieren auf asymmetrischer Kryptographie, bei der der Absender ein Dokument mit seinem privaten Schlüssel signiert. Der Empfänger kann dann mit dem öffentlichen Schlüssel des Absenders verifizieren, dass das Dokument tatsächlich vom angegebenen Absender stammt und nach der Signierung nicht verändert wurde.

Die eIDAS-Verordnung der EU definiert verschiedene Sicherheitsstufen für elektronische Signaturen, von der einfachen elektronischen Signatur bis zur qualifizierten elektronischen Signatur, die rechtlich einer handschriftlichen Unterschrift gleichgestellt ist. Für Rechnungen empfiehlt sich daher mindestens eine fortgeschrittene elektronische Signatur, idealerweise jedoch eine qualifizierte elektronische Signatur.

Ein praktischer Vorteil: Während nur ein Bruchteil der deutschen Unternehmen routinemäßig Ende-zu-Ende-Verschlüsselung nutzen, setzen deutlich mehr digitale Signaturen ein. Die Implementierung erfordert zudem weniger technisches Know-how und ist mit standardisierten Zertifikaten vergleichsweise einfach umzusetzen. Rechtlich sind Signaturen durch die eIDAS-Verordnung klar geregelt und anerkannt, während die vom OLG geforderte Verschlüsselungspflicht umstritten bleibt.

Insofern zeigt dieses Beispiel, dass es unerlässlich ist, sich den Prozess als Ganzes anzusehen. Die Kernaspekte bei E-Mail-Rechnungen sind:

  • Schutzziele variieren: Verschlüsselung sichert Vertraulichkeit, Signaturen garantieren Integrität. Maßnahmen müssen stets nach dem konkreten Schutzziel geprüft und getrennt betrachtet werden.
  • E-Rechnungspflicht ist kein Schutz: Auch elektronische Formate wie XRechnung oder ZUGFeRD bieten keinen inhärenten Schutz vor Betrug. Gegenüber Verbrauchern dürfen weiterhin PDFs versendet werden, die manipulierbar bleiben.
  • Praktische Prävention: Bei geänderten Bankverbindungen immer telefonisch nachfragen und bestätigte Konten in einer internen Liste speichern. So können Sie Manipulationen früh erkennen.
Wichtig ist also zu verstehen, dass digitale Signaturen und Verschlüsselung unterschiedliche Schutzziele verfolgen und einander ergänzen.

16. April 2024

Datenschutz gestärkt: Die EDSA Kontrollaktion zum Recht auf Auskunft

Checkliste mit Haken

Das Recht auf Auskunft ist eines der wichtigsten Betroffenenrechte. Daher hat der Europäische Datenschutzausschuss (EDSA) eine maßgebliche Initiative ins Leben gerufen, die das Recht auf Auskunft in den Mittelpunkt stellt.

Wir klären, was dahinter steckt und was auf deutsche Organisationen zukommt. 

Weiterlesen

16. APRIL 2024

Jeder 2. Exchange-Server gefährdet – mit Datenschutz-Folgen

Mailprogramm auf Laptop geöffnet

Warnstufe Orange: So schätzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den aktuellen Stand von fast 50 % der deutschen Microsoft-Exchange-Server ein. 

Das ist nicht nur aus Sicht der IT-Sicherheit bedenklich – es entstehen auch datenschutzrechtliche Folgen.

Weiterlesen

16. APRIL 2024

Datenschutz vs. Pressefreiheit: Der Fall Kate im Krankenhaus

Person wird interviewt

Ein Vorfall um die Princess of Wales, Kate, sorgte für Aufsehen. Einem Bericht zufolge versuchte ein Mitarbeiter einer Klinik Zugang zu ihrer Akte zu erlangen.

Dieser Vorfall wirft nicht nur Fragen bezüglich des Datenschutzes auf, sondern berührt auch die Thematik der Pressefreiheit.

Weiterlesen

12. März 2024

KI-Regulierung in der EU: Der AI Act und seine Auswirkungen auf Organisationen

Menschliche Hand und Roboterhand zeigen aufeinander

In der rasant fortschreitenden Welt der Künstlichen Intelligenz (KI) hat die EU einen entscheidenden Schritt gemacht und die weltweit ersten rechtlichen Vorschriften für KI verfasst.

Doch was genau steckt hinter dem AI Act? Und wie wirkt er sich auf Organisationen aus?

Weiterlesen

12. März 2024

Das Löschkonzept im Datenschutz: Ein Leitfaden für Organisationen

Papierkorb-Symbol auf Tastatur

In der Welt des Datenschutzes ist das Löschkonzept ein integraler Bestandteil des Datenschutz-Managementsystems. Seine Existenz versetzt Organisationen erst in die Lage, die rechtlichen Anforderungen des Datenschutzes vollständig zu erfüllen.

Wir zeigen, wie das gelingt.

Weiterlesen

12. März 2024

Warum Sie den „Alles-akzeptieren-Button“ bei Cookies vermeiden sollten

Handy mit einem Accept-Button

Sobald wir eine Website öffnen, ploppt in der Regel ein Cookie-Banner auf. Das ist zwar lästig, grundsätzlich aber genau richtig. Allerdings schreit uns meist einer der Buttons schon regelrecht an – der „Alles-akzeptieren-Button“.

Wir erklären, warum Sie den Button unbedingt vermeiden sollten.

Weiterlesen

13. Februar 2024

Die 5 wichtigsten Hackerangriffe 2023 und was wir daraus lernen

Auf einem Bildschirm steht "Game Over". Daneben sind Pacman-Geister

Der digitale Raum steht vor noch nie dagewesenen Bedrohungen, wie das BSI warnt. Auch kleinere Unternehmen werden immer öfter angegriffen.

Wir haben die 5 wichtigsten Angriffe und was wir daraus lernen können zusammengefasst.

Weiterlesen

13. FEBRUAR 2024

Wer schreibt, der bleibt:
Enthaftung durch nach-weisbaren Datenschutz

Person sitzt am Tisch und schreibt auf einem Papier

Viele Organisationen sind, was die praktische Umsetzung des Datenschutzes betrifft, ziemlich gut aufgestellt. Datenschutz wird im Alltag an vielen Stellen einfach gelebt, ohne dass dies in irgendeiner Form dokumentiert wird.

Eine Dokumentation ist allerdings zur Enthaftung notwendig.

Weiterlesen

13. FEBRUAR 2024

Die Kunst des Datenschutzes im Ehrenamt: Ein Leitfaden

Sich umarmende Personen von hinten zu sehen

Ehrenamt spielt eine zentrale Rolle in unserer Gesellschaft. Doch eins wird ganz oft vergessen: der Datenschutz. Dabei müssen sich auch Ehrenamtliche daran halten.

Wir zeigen, warum Datenschutz im Ehrenamt so wichtig ist und wie die Umsetzung gelingt.

Weiterlesen

16. Januar 2024

Evaluierung der DSGVO: Erfolge, Empfehlungen und Herausforderungen

Drei Holzwürfel mit Gesichtern von unzufrieden bis zufrieden

Die DSGVO ist mittlerweile fünfeinhalb Jahre alt. Seit der Einführung hat sich viel getan. Um auf Veränderungen zu reagieren, wird die DSGVO regelmäßig evaluiert.

Wir werfen einen Blick auf den Bericht.

Weiterlesen

16. JANUAR 2024

Wenn jeder Moment zählt – Datenschutz in Notfällen

Von Hochwasser betroffene Gebäude

Was passiert, wenn Naturkatastrophen die Daten von Organisationen bedrohen? Dann wird klar, dass der Datenschutz nicht nur Verpflichtung ist, sondern auch eine unerlässliche Notwendigkeit in Krisen.

Lernen Sie die wichtigsten Schritte kennen.

Weiterlesen

16. JANUAR 2024

Smart Home: So schützen Sie sich und Ihre Daten in 12 Schritten

Erleuchtetes Smart Home in Schneelandschaft

So wie jede Hard- und Software haben auch die Komponenten in Smart Homes Sicherheitslücken und es besteht die Gefahr, dass Sie gehackt werden.

Wir zeigen, welche 12 Maßnahmen Sie treffen können, um sich und Ihre Daten zu schützen. 

Weiterlesen
Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies