Monat: November 2023

Die Zahl der SMS-Betrugsversuche hat sich, laut der Anzahl der Beschwerden, um das Fünffache erhöht. Besonders häufig genutzt, sind die SMS im Zusammenhang mit einer Paketzustellung. Nach Angaben der Behörden gingen im Oktober diesen Jahres 1.453 Beschwerden bei der Bundesnetzagentur ein. Im Juli lag die Zahl noch bei 327.

Diese SMS-Nachrichten enthalten einen Link, welcher zur Sendungsverfolgung eines Paketes führen soll. Stattdessen landet man auf einer betrügerischen Website, die möglicherweise Schadsoftware installieren könnte.

Seit Jahren warnen Verbraucherschützer, Polizei und Paketdienstleister vor dem Smishing (SMS + Phishing). Jedoch scheint der Erfolg der Betrüger immer mehr zuzunehmen, was vermutlich daran liegt, dass die meisten Menschen wirklich ein Paket erwarten und dieses über den Link verfolgen wollen.

Diese SMS-Nachrichten können in ihrem Text, laut der Verbraucherzentrale, variieren und folgende Passagen enthalten:

• „Ihr Paket wurde bei der Abholstelle abgegeben. Sie können Ihr Paket hier abholen.“
• „Lieferproblem. Folgen Sie dem Link, um einen neuen Liefertermin zu vereinbaren.“
• „Ihr Paket steht noch aus. Bestätigen Sie Ihre Angaben hier.“

Die einzige Gemeinsamkeit aller Betrugsnachrichten liegt in dem Link, welcher mit anhängt. Expert:innen raten dringend davon ab, auf solche Links zu klicken. Zur Sendungsverfolgung können Sie auch direkt über die Website des Paketdienstleisters gelangen.

Sollten Sie eine Betrugs-SMS erhalten, dann können Sie diese über die Website der Bundesnetzagentur melden und den Absender auf Ihrem Smartphone sperren. Die Bundesnetzagentur ist bemüht die Absendernummern abzuschalten. Allein bis Ende Oktober wurde die Abschaltung von 8.540 Rufnummern angeordnet.

Weitere Informationen finden Sie hier:
https://www.verbraucherzentrale.de/wissen/digitale-welt/mobilfunk-und-festnetz/paketdienstsms-vorsicht-abzocke-58988
https://t3n.de/news/betrugsversuche-per-sms-nehmen-zu-vorsicht-vor-diesen-nachrichten-1590366/?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Eine Hackergruppe namens „Akira“ hat einen Angriff auf die Südwestfalen-IT durchgeführt. Seit Tagen sind Dienstleistungen von mehr als 70 Kommunen in NRW lahm gelegt. Es sind nur begrenzte Arbeitsmöglichkeiten vorhanden. Die Gruppe fordert, laut WDR, ein hohes Lösegeld um die verschlüsselten Daten wieder freizugeben. Allerdings sind die Kommunen nicht bereit dieses zu zahlen und versuchen stattdessen eine Lösung zu entwickeln und die Server zu reparieren.

Durch diesen Hackerangriff, blieb nichts anderes übrig, als sämtliche Systeme sofort abzuschalten. Viele Kommunen können Anfragen nur noch mit Block und Stift bearbeiten. Die Internetseiten der Verwaltungen sind nicht mehr zu erreichen.

Akira greift stets Ziele an, deren Serversysteme ohne eine Zwei-Faktor-Authentifizierung funktionieren. Diese Schwachstelle wird dazu verwendet, die gespeicherten Daten zu verschlüsseln. Die seit März aktive Gruppe ist, laut den Ermittlern, die viertgefährlichste Hackergruppe der Welt.

Eine schnelle Rückkehr zur Normalität ist eher unwahrscheinlich. Es besteht jedoch die Hoffnung, dass einige Dienste wieder teilweise verfügbar sein werden.

Weitere Informationen finden Sie hier:
https://www.tagesschau.de/inland/regional/nordrheinwestfalen/wdr-hackergruppe-akira-steckt-hinter-angriff-auf-suedwestfalen-it-100.html

Zahlreiche Aufgaben in der heutigen Organisation, wie etwa die Suche nach Informationen, lassen sich mithilfe von eigenen KI-Systemen gut oder sehr gut lösen . Bei zahlreichen Anbietern, wie etwa ChatGPT, bestehen jedoch durchaus Risiken in gleich mehreren Rechtsgebieten. Diese können von Datenschutz, über das Geschäftsgeheimnisgesetz, bis hin zum Urheberrecht und bei einigen Berufsfeldern ( z. B. Arzt, Apotheken und Anwälten) sogar bis hin zum Strafrecht reichen .

Rechtliche und organisatorische Risiken

Organisationen sehen sich hier einem Risiko ausgesetzt, wenn sie Daten in ein KI-System eingeben, das Dritte betreiben und somit nicht die volle Kontrolle über die eigenen Daten bietet.

Wie jedem mittlerweile klar sein sollte, werden die über ChatGPT verarbeiteten Daten von Microsoft für eigenen Zwecke genutzt und abgespeichert. Dies kann über den Gebrauch der gewonnenen Daten für das Training der KI, bis hin zur Auswertung der Daten für Werbezwecke reichen.

Zurzeit ist zwar je nach Umständen ein rechtssicherer Datentransfer an Server oder Unternehmen mit USA-Bezug wieder einfacher und rechtssicherer möglich.

Das neue Datenschutzabkommen zwischen Europa und den USA wird jedoch zukünftig mit an Sicherheit grenzender Wahrscheinlichkeit angegriffen werden.

Allein dieser Punkt sollte für viele Organisationen ausreichen, um zu überlegen, ob eine dauerhafte geplante Einbindung von z. B. ChatGPT nicht für eigene Daten zielführend ist und das Risiko rechtfertigt.

Vor allem da Daten eines Unternehmens auch ohne Personenbezug aus dem oben genannten Gründen auch schützenswert sein können.

Für personenbezogene Daten sind weiterhin bekanntlich die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zwingend einzuhalten.

Die Verarbeitung personenbezogener Daten ist daher nur aufgrund einer Rechtsgrundlage zulässig und geht mit verschiedenen Verpflichtungen einher.

Aus den eben genannten Gründen sind sensible Daten auf einem Server in den USA oder in der Obhut eines amerikanischen Anbieters generell nicht als sicher anzusehen. Dies lässt sich aus ähnlichen Gründen auch für andere Staaten, wie China oder Russland annehmen. Somit ist ChatGPT kein besonderer geeigneter Platz für Mitarbeiterdaten, Vertragsdokumente, Software-Quelltexte , Patentschriften und dergleichen.

Sollte ein Verzicht auf KI-Modelle jedoch nicht in Betracht kommen, gibt es hier mehrere Lösungsansätze.

Eine Möglichkeit wäre es eine entsprechende Richtlinie in der Organisation zur Nutzung von KI-Modellen zu erlassen.

Darin sollten zumindest folgende Punkte für die Mitarbeiter verständlich abgehandelt werden:

1. Zweck und Verantwortlichkeiten
2. Zulässiger Anwendungsbereich
3. Vertraulichkeit und Datenschutz
   1. Personenbezogene Daten gem. Art 4 Nr.1 DSGVO
   2. Umgang mit Geschäftsgeheimnissen
4. Der Gesetzlichen Auskunftsanspruch
5. Verantwortungsbewusste Entscheidungsfindung
6. Feedback und Verbesserung
7. Sicherheit
8. Schulung und Bewusstsein
9. 8.Umgang mit dem Account
10. Datenschutzverletzungen

Eine andere Lösung dieses Problems wäre die Einführung eines autarken KI-Systems, die ein Unternehmen selbst betreibt .

Autarke KI-Systeme sind eigenständige Anwendungen, die auf einer eigenen (oder gemieteten) Hardware laufen. Diese Anwendungen lassen sich auch ohne eine Internetverbindung betreiben.

Daraus wird bereits der Vorteil ersichtlich. Der Datenfluss verbleit vollständig kontrollierbar und in der Hand der Organisation ohne einem Dritten einen Einblick gewähren zu müssen.

Die Pflichten aus der DSGVO, wie etwa die Informationspflicht Art 13 DSGVO oder nachkommen eventueller Betroffenenrechte nach Art 15 ff DSGVO, dürften damit für die verantwortliche Organisation leichter nachkommen zu sein, als bei einer Inanspruchnahme einer extern betriebenen KI.

Hierzu gibt es bereits einige erschwingliche Grundlagenmodelle verschiedener Anbieter.

Diese müssten natürlich dann noch entsprechend „trainiert“ und auf die Bedürfnisse der Organisation angepasst werden.

Seit Juli diesen Jahres ist das deutsche Hinweisgeberschutzgesetz in Kraft getreten. Es handelt sich dabei um die landeseigene Umsetzung der europäischen Whistleblower-Richtlinie, welche bereits im Dezember 2021 verabschiedet wurde.

Der Gesetzgeber hat damit nun für Unternehmen verbindliche Vorgaben geschaffen mit dem Ziel, hinweisgebende Personen, welche im Rahmen ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben, vor jeglichen Repressalien wegen der Meldung an interne oder externe Meldestellen zu schützen.

Seit dem 02. Juli 2023 gilt das Gesetz bereits verbindlich für Unternehmen ab 250 Mitarbeitenden. Ab dem 17. Dezember 2023 fallen auch Unternehmen mit 50 Beschäftigten darunter und sind nun dazu verpflichtet, den Schutz zu gewährleisten und sichere Meldekanäle einzuführen. Damit läuft die Übergangsfrist zu diesem Stichtag ab.

Stellen Sie demnach sicher, ob Sie der Umsetzungspflicht bereits nachgekommen sind, oder ob dies bis zum Stichtag noch nachgeholt werden muss. Aufgrund unserer Erfahrung beim Einrichten, Betreiben und der Abwicklung eines Hinweisgebersystems, können Sie sich bei Fragen gerne an uns wenden.

In den Anwendungsbereich des Gesetzes fallen das EU-Recht und das nationale Recht, soweit es sich dabei um Straftaten und Vergehen sowie (bußgeldbewehrte) Ordnungswidrigkeiten handelt.

Meldende Personen können Arbeitnehmer, Beamte, Selbstständige, Gesellschafter, Praktikanten, Freiwillige, Mitarbeitende von Lieferanten sowie Personen sein, deren Arbeitsverhältnis bereits beendet ist oder noch nicht begonnen hat und sich in einem vorvertraglichen Stadium befindet.

Arbeitgeber sind dabei – trotz Wahlrecht der hinweisgebenden Person – angehalten, eine interne Meldestelle einzurichten. Das Gesetz sieht vor, dass Meldestellen innerhalb der Organisation vorrangig genutzt werden sollen. Dabei müssen die Kanäle auch in einem Umfang kommuniziert werden, der eine Kenntnisnahme der hinweisgebenden Personengruppen ermöglicht.

Der Klage des Verbraucherzentrale Bundesverband (vzbv) gegen LinkedIn wurde vom Landgericht Berlin größtenteils zugestimmt (Urteil vom 24.08.2023, Aktenzeichen: 16 O 420/19 – nicht rechtskräftig).

Durch die Einstellung „Do not Track“ in Ihrem Browser, können Sie verhindern, dass Ihr Suchverhalten verfolgt wird („Tracking“). LinkedIn hat auf seiner Webseite klar erklärt, dass es nicht auf DNT-Signale reagiert. Dies ist jedoch problematisch, denn es können somit auch gegen den Willen der Nutzer:innen personenbezogene Daten verarbeitet werden. Laut dem vzbv müssen Webseitenbetreiber dieses Signal respektieren. Somit darf LinkedIn die Nichtreaktion nicht mehr mitteilen.

LinkedIn darf außerdem die Funktion „Sichtbarkeit des Profils“ bei der erstmaligen Anmeldung nicht mehr aktivieren. Durch diese Standardeinstellung  konnte ein persönliches Profil ohne Einwilligung außerhalb von LinkedIn, z.B. in Suchmaschinen, eingesehen werden.

Bereits im vergangenen Jahr wurde einem Teil der Klage stattgegeben. Hier wurde LinkedIn der unerwünschte Versand von E-Mail-Einladungen an Nicht-Mitglieder untersagt, die der Nutzung ihrer E-Mail-Adresse nicht zugestimmt haben.

Weitere Informationen finden Sie hier:
https://www.vzbv.de/urteile/gericht-untersagt-datenschutzverstoesse-von-linkedin

Bei der französischen Datenschutzbehörde (CNIL) gingen Beschwerden gegen drei Android-Apps ein.

Eine Beschwerde gegen die Immobilien-App SeLoger, welche in Frankreich sehr beliebt ist. Eine weitere Beschwerde gegen eine App der französischen Elektronik-Handelskette Fnac. Die letzte Beschwerde bezieht sich auf die Fitness-App MyFitnessPal, welche auch in Deutschland sehr verbreitet ist. Die Beschwerden wurden durch die Datenschutzorganisation NOYB eingereicht, nachdem sie Datenschutzverstöße bei allen drei Apps feststellten.

Laut NOYB sammeln alle drei Apps unmittelbar nach dem Öffnen personenbezogene Daten. Bloß eine App hat bei der Nutzung darauf hingewiesen. Allerdings erfolgt hier bereits die Datensammlung vor dem Hinweis. Bei den Daten handelt es sich um die lokale IP-Adresse, die Google-Werbe-ID und das Gerätemodell. Möglichweise werden die Daten unrechtmäßig gespeichert und an Dritte weitergegeben. Es besteht bei keiner der drei Apps die Möglichkeit, vor Beginn der Datensammlung, dieser zu widersprechen.

Es wird gefordert, dass alle gespeicherten Daten unwiderruflich gelöscht werden. Darüber hinaus schlägt NOBY vor, dass die Behörde aufgrund der zahlreichen betroffenen Personen eine Geldstrafe für die Betreiber verhängen sollte.

Es scheint, dass die drei Apps keine Ausnahmen sind. Laut einer Studie von Konrad Kolling und Reuben Binns der University of Oxford, ermöglichen  nur 3,5 Prozent der Android-Apps Nutzenden die Ablehnung des Datentransfers an Dritte. NOBY hat daher angekündigt weitere Untersuchungen durchzuführen.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2023/android-apps-noyb-geht-gegen-datenweitergabe-vor/