Das Katholische Datenschutzzentrum Frankfurt (KDSZ Frankfurt) hat seinen Tätigkeitsbericht für das Jahr 2024 veröffentlicht. Darin werden einzelne Sachverhalte geschildert, die die Aufsichtsbehörde im vergangenen Jahr beschäftigt hat. Der Fall einer tiefgefrorenen Plazenta (S. 32), die mit den Daten einer anderen frisch gebackenen Mutter beklebt waren, zeigt, dass datenschutzrechtliche Tücken auch an Stellen lauern, von denen der durchschnittliche Datenschützer wohl noch nicht mal wusste, dass es sie gibt.
Sehr viel alltäglicher ist hingegen der nächste beschriebene Fall (S.33), der beim KDSZ Frankfurt gleich aus zwei Einrichtungen gemeldet wurde: Die Personalabteilung erhielt per E-Mail die Bitte, die Bankverbindungsdaten für die Gehaltsüberweisung eines Mitarbeiters zu ändern. Diese E-Mail stammte allerdings nicht vom besagten Mitarbeiter, sondern einem Betrüger, der sich als dieser Mitarbeiter ausgab. Dieser Umstand fiel jedoch erst dann auf, als sich der echte Mitarbeiter meldete, weil er kein Gehalt bekommen hatte.
Ein solcher Fall bedeutet nicht nur einen finanziellen Schaden für den Arbeitgeber, sondern kann auch gleich in zweifacher Hinsicht eine Datenschutzverletzung darstellen:
- Zunächst liegt ein Fall der unrechtmäßigen Veränderung vor, da die Bankverbindungsdaten im Personalsystem geändert werden.
- Darüber hinaus erfolgt eine unbefugte Offenlegung personenbezogener Daten, da durch die Überweisung den Betrügern die Summe des Nettogehalts bekannt wird.
Zunehmende Betrugsversuche – auch gegen kirchliche Einrichtungen
Der österreichische Blog Watchlist Internet hat bereits im letzten Jahr vor der Zunahme entsprechender Betrugsfälle gewarnt (hier). Auch aus unserer eigenen Beratungspraxis kennen wir entsprechende Vorfälle in kirchlichen Einrichtungen. Das zeigt deutlich: Kirchliche und wohltätige Organisationen stehen zunehmend im Fokus von Betrügern, spätestens seit dem Cyberangriff auf die Deutsche Bischofskonferenz und dem Skandal um die Caritas Luxemburg, bei dem Betrüger 61 Millionen Euro erbeuteten, ist dies offensichtlich. Es müssen also entsprechende Sicherheitsmaßnahmen getroffen werden – wie dies auch ohnehin durch die Datenschutzgesetze vorgeschrieben ist.
Grundsätzliche Sicherheitsmaßnahmen
Viele Betrugsversuche können mit grundsätzlichen Sicherheitsmaßnahmen abgewehrt werden. Die erste Priorität ist dabei zu verifizieren, ob die E-Mail tatsächlich vom vermeintlichen Absender stammt. Dies ist besonders wichtig, wenn die E-Mail eine Zahlungsaufforderung oder Änderung von Kontodaten enthält.
Die große Frage dabei lautet: Kommt diese E-Mail wirklich vom angeblichen Absender?
Das KDSZ Frankfurt merkt an dieser Stelle an, dass es nicht ausreichend sei, wenn die E-Mail mit der Änderung der Kontodaten für die Gehaltsüberweisung von der dienstlichen E-Mail-Adresse des Beschäftigten stamme, da „Auch diese E-Mail-Adresse in krimineller Absicht verändert und zu Betrugszwecken eingesetzt worden sein [könnte].“ (KDSZ Frankfurt, Tätigkeitsbericht 2024, S. 33)
Die Einschätzung des KDSZ Frankfurt ist nachvollziehbar, die Angelegenheit sollte jedoch etwas differenzierter betrachtet werden: Eine telefonische oder noch besser persönliche Nachfrage, ob die Anfrage wirklich vom jeweiligen Mitarbeiter kommt, schafft immer zusätzliche Sicherheit. Auch die Datenänderung über entsprechende Self Service-Portale der Personalverwaltungssoftware sind zu bevorzugen – vorausgesetzt, die Software selbst erfüllt alle Anforderungen an IT-Sicherheit.
Die Aussage der Aufsichtsbehörde ist etwas zu generalisierend. Bei der Gefahr, die das KDSZ Frankfurt sieht, dürfte es sich um sogenanntes E-Mail Spoofing handeln. Beim Spoofing wird eine falsche Identität als E-Mail-Absender angegeben. Die E-Mail sieht also so aus, als wenn sie wirklich von der dienstlichen Adresse eines Mitarbeiters versendet wurde.
Es gibt jedoch die Möglichkeit die eigenen E-Mail-Server gegen Spoofing zu sichern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu vor kurzem neue Empfehlungen veröffentlicht. Sind die E-Mail-Server ausreichend gegen Spoofing gesichert, kann es als ausreichend sicher angesehen werden, wenn Anfragen zur Änderung von (Bankverbindungs-) Daten über die dienstliche E-Mail-Adresse versendet werden. Dennoch sollten die Mitarbeitenden immer kritisch bleiben und bei Unstimmigkeiten persönlich oder telefonisch nachfragen.
Zu hinterfragen ist außerdem der weitere Hinweis des KDSZ Frankfurt, dass eine zwingende postalische Form einen sicheren Identifizierungsprozess bei Änderung der Kontoverbindung darstellt. Es fehlen Erläuterungen, weshalb ein Brief als sicher und nicht fälschbar gelten solle, obwohl es doch beim Postversand noch einfacher ist, einen anderen Absender anzugeben als bei einer E-Mail. Auch ist der Verweis auf den Postweg in unserer digitalen Welt schwer vermittelbar – selbst in kirchlichen Einrichtungen, in denen die Digitalisierung teilweise nur träge vorangetrieben wird.
Zusätzliche Sicherheitsmaßnahmen der Banken
Besserer Schutz vor solchen Betrugsmaschen kommt in Zukunft jedoch aus einer ganz anderen Richtung: Ab Anfang Oktober sind die Banken in der EU durch eine neue EU-Verordnung dazu verpflichtet, eine Empfängerüberprüfung (Verification of Payee) durchzuführen (Art. 5c VO (EU) 2024/886). Im Online-Banking gibt es dann vor der Freigabe der Überweisung eine Information, ob der angegebene Empfängername und der Name des Kontoinhabers übereinstimmen. Gibt es keine Übereinstimmung, erscheint eine Warnung. Dies dürfte Betrugsversuche, bei denen nur die IBAN ausgetauscht wird, enorm erschweren – vorausgesetzt, dass Firmen und Einrichtungen konsequent auf die Empfängerüberprüfung achten.
Fazit
Betrüger versuchen über verschiedenste Wege, an Geldzahlungen zu gelangen. Die Änderung von Kontodaten ist nur eine von vielen Methoden. In Zukunft werden solche Betrugsversuche zwar durch zusätzliche Sicherheitsmaßnahmen der Banken erschwert, dennoch sollten Sicherheitsmaßnahmen und Freigabeprozesse genau geprüft werden. Kommt es dann doch zur Überweisung an die Betrüger ist daran zu denken, dass neben dem finanziellen Schaden auch eine Datenpanne vorliegen kann.
22. Juli 2025 @ 12:16
Halten Sie einen solchen erfolgreichen Angriff gegen ein Arbeitgeber bezüglich des an die Täter mitgeteilten Nettogehalts des Arbeitnehmers für einen nach Art. 33 DSGVO meldepflichtige Datenschutzvorfall durch den Arbeitgeber (Arbeitnehmer als Betroffener)?
24. Juli 2025 @ 14:51
Ich halte dies für einen Grenzfall, den der Verantwortliche abwägen muss. Wie immer müssen die konkreten Umstände betrachtet werden. Beispielsweise kann in die Betrachtung einfließen, mit wie viel Verspätung der Mitarbeiter das Gehalt erhalten hat und ob er hieraus Nachteile erlitten hat. Auch die Höhe des Gehalts kann relevant sein: Ist dies für Außenstehende eine Überraschung oder ist die ungefähre Höhe des Gehalts ohnehin bekannt, weil nach Tarifvertrag bezahlt wird?
Es gibt auf jeden Fall gute Anhaltspunkte dafür, dass eine Meldepflicht besteht.
Das KDSZ Frankfurt berichtet von diesen Fällen übrigens in der Rubrik Datenschutzverletzungen. Daher gehe ich davon aus, dass diese Fälle auch an das KDSZ Frankfurt gemeldet wurden.