+49 228 2861 140 60 info@sicoda.de
Spam Mails

Spam Mails

Sie kämpfen mit Spam Mails, die Ihren Posteingang überfluten? Das Problem kennen wir auch. Es ist wichtig zu wissen, dass Sie verpflichtet sind, alle Mails zu prüfen. Im Geschäftsverkehr kann ein Schweigen auf eine zugegangene Mail rechtsverbindlich sein. 

Auch das Datenschutzrecht verlangt, dass Betroffenenrechte unverzüglich umgesetzt werden. Ein Auskunftsanspurch muss erfüllt werden, wenn die Mail am Mailserver des Unternehmens angekommen ist. Die besondere Herausforderung besteht darin, dass der Datenschutzkontakt auf der Webseite genannt werden muss und von Spam Robotern automatisch gefunden werden kann. Diese Adresse ist damit für Spam Mails ein sehr lukratives Ziel. 

 

Strategien gegen Spam

Eine E-Mail pro online Dienst

Viele E-Mail Anbieter bieten die Möglichkeit, die E-Mail Adresse mit einem zusätzlichen Wert zu versehen. Z. B. wird die E-Mail MaxMustermann+ebay@gmail.com an das Postfach MaxMustermann@gmail.com . Diese Technik nennt sich Mail, Trenner oder englisch Mail Delimiter. Die klassischen Firmenserver unterstützen diese Funktion leider häufig nicht.

Blacklisting

Beim Blacklisting werden in einer Liste diejenigen E-Mail-Adressen eingetragen, die bekannt dafür sind, Spam zu versenden. Es gibt auch Online-Listen, in denen die bekannten Spamadressen enthalten sind. Ein bekannter Vertreter dieser Listen ist: https://www.spamhaus.org/

Greylisting

Wenn Server der Firma A eine E-Mail an den Server der Firma B sendet, fragt er erst einmal an, ob der Server B bereit ist, Mails zu empfangen. Beim Greylisting antwortet Server B, dass er gerade beschäftigt ist. Server A versucht den Mailversand jetzt in zeitlichen Abständen weiter, bis B endlich nicht mehr beschäftigt ist. Diese Technik des verzögerten Empfangs nennt man Gerylisting. Seriöse Mailserver probieren es über einen längeren Zeitraum die E-Mail zuzustellen. Spam Server brechen in der Regel nach dem ersten Versuch ab. 

Spam Filter

Intelligente Spam Filter vergeben für absendende E-Mail Adressen und Mailinhalte Punkte. Bei Überschreiten eines Schwellenwerts wird die E-Mail als Spam markiert. Solche Systeme greifen in der Regel auch auf die Betreffzeile und den Mailinhalt zu. Wenn ich also in der Mail aufgefordert werde, an einem Gewinnspiel teilzunehmen, erhält diese Mail einen hohen Spam-Wert und wird dann als höchstwahrscheinlich Spam klassifiziert.  Bei Spam Filtern ist es rechtlich wichtig, dass die Mail für den Empfang abgelehnt wird. Wenn mein Mailserver die Mail entgegennimmt, ist sie rechtlich gesehen zugegangen und ich muss mich über den Inhalt informieren. 

Wurde ich gehackt?

Leider werden auch seriöse Onlinedienste immer wieder erfolgreich gehackt und dabei werden E-Mail-Adressen und Passwörter erobert. Diese Passwörter sind im Internet und zunehmend im Darkweb abrufbar. Wenn ich mit meiner E-Mail-Adresse in einem solchen Hack zu finden bin, ist Spam quasi zwangsläufig.

Sie können hier prüfen, ob Sie gehackt wurden:

https://haveibeenpwned.com/

https://sec.hpi.de/ilc/

Verschlüsselungscheck

Ende zu Ende Verschlüsselung

Die Ende zu Ende Verschlüsselung ist die sicherste Art der Verschlüsselung einer Kommunikation. Hierbei verschlüsseln die beiden IT – Systeme, die miteinander kommunizieren. Das kann im Fall zweier WhatsApp Handies die beiden Geräte bei den Handy Nutzern sein. 

Bekannter sind die Verschlüsselungen auf den Webseiten. Hier wird bei einer Ende zu Ende Verschlüsselung der Nachrichtenverkehr von Computer zu Server verschlüsselt. In der Regel wird ein sogenanntes asynchrones Verschlüsselungsverfahren eingesetzt, bei dem der Schlüsselaustausch automatisch erfolgt. Bekannte Vertreter dieser asynchronen Verschlüsselung sind TLS, SSL, PGP oder S/MIME. 

 

E-Mail-Verschlüsselung

Die E-Mail-Verschlüsselung schützt Nachrichten während der Übertragung. Hierzu müssen sowohl der sendende als auch der Empfangende Mailserver die E-Mail Verschlüsselung unterstützen. 

 

TLS – E-Mail Verschlüsselung

TLS ist die am häufigsten verwendete Verschlüsselungsart für E-Mails. Es ist ein Akronym für Transport Layer Security. TLS ist ein Protokoll, das Computer und Geräte mit einem Netzwerk verbindet. Es kann Daten verschlüsseln, die von einem Computer oder Gerät an einen anderen Computer oder ein anderes Gerät im Netzwerk gesendet werden. E-Mails können automatisch verschlüsselt werden, sodass der Benutzer nicht darüber nachdenken muss. Dies macht E-Mail-TLS zu einer sehr sicheren Kommunikationsmethode.

Checkliste Datenschutzerklärung

Checkliste Datenschutzerklärung

Web Scanner

Du willst deine Webseite auf Cookies und andere Technik prüfen? Dann kommen folgende Tools für dich in Frage:

 

https://tqdev.com/gdpr-scanner/

https://webbkoll.dataskydd.net/

https://privacyscore.org/

https://privacyscore.org/

Privacy Shield Nachfolger in Sicht

Privacy Shield Nachfolger in Sicht

Der Nachfolger der EU-US Privacy Shield Vereinbarung scheint in greifbare Nähe gerückt zu sein. In einer korrespondierenden Erklärung haben die EU-Kommission und die amerikanische Regierung in einem Trans-Atlantic Data Privacy Framework die Eckpunkte für einen internationalen Datenaustausch abgesteckt.

Historie:

Beide Partner haben schon in der Vergangenheit unter den Begriffen „Safe Harbor Agreement“ und „Privacy Shield“ versucht, eine Vereinbarung zu treffen, die für europäische Bürger einen fairen und rechtskonformen Umgang mit persönlichen Daten ermöglicht. Beide Vereinbarungen wurden vom EuGH als rechtswidrig bezeichnet und waren damit unwirksam.

Der EuGH hat als einen der wesentlichen Punkte an den Vereinbarungen kritisiert, dass der Zugriff von US-Sicherheitsbehörden auf personenbezogene Daten von europäischen Bürgern, vor allem auf der Grundlage des FISA Sec. 702, annähernd uneingeschränkt und ohne nennenswerten Rechtsweg möglich sei.

Zukünftig:

Der Zugriff soll nur noch in festen Grenzen möglich sein.

EU-Bürger sollen die Möglichkeit haben, bei einem „Data Protection Review Court“, einer Art Schlichtungsstelle, Beschwerden einzureichen, die dann neutral geprüft würden.

Die schon aus den beiden Versuchen vorher bekannten Zertifizierungsmechanismen für Unternehmen, die ihre eigenen internen Datenschutzgrundsätze dem europäischen Level anpassen müssen, wurden beibehalten.

Aktueller Stand

Aktuell befinden sich alle europäischen Unternehmen, die amerikanische Cloud-Anbieter nutzen, in einer rechtlichen Unsicherheit. Zunehmend prüfen und sanktionieren Aufsichtsbehörden den Einsatz solcher Dienste. Das Projekt Gaia X, das eine europäische, offene Alternative bieten will, bietet Unternehmen zurzeit noch nicht den Service der etablierten amerikanischen Angebote.

Umfassend beschreibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Auswirkungen und notwendigen Maßnahmen: LINK

Beim Einsatz amerikanischer Cloudanbieter muss immer ein Transfer-Impact-Assessment durchgeführt werden, in dem die Risiken für die Betroffenen bewertet werden müssen.

Transfer Impact Assessment

Wir halten für die bekannten amerikanischen Cloud Anbieter wie Atlassian, Microsoft, AWS, Salesforce und co. fertige TIA vor, die nurnoch geringfügig an den konkreten Unternehmenseinsatz angepasst werden müssen.

Ausblick für die Wirtschaft

Die Ankündigung macht Hoffnung, dass im Datentransfer mit den USA und den noch konkurrenzlosen amerikanischen Cloud-Anbietern Rechtssicherheit eintritt.

Geschäftsführer*innen haften persönlich für Schäden aus Datenschutzverletzungen (OLG Dresden)

Geschäftsführer*innen haften persönlich für Schäden aus Datenschutzverletzungen (OLG Dresden)

Geschäftsführerhaftung

Geschäftsführer*Innen sind „Verantwortlicher“ im Sinne der DS-GVO und haften persönlich für Datenschutzverletzungen gegenüber den Geschädigten.

In einem unscheinbaren Urteil hat das OLG Dresden eher nebenbei eine für Geschäftsführer von Kapitalgesellschaften äußerst relevante und beunruhigende Entscheidung getroffen. In dem Urteil ging es um den Geschäftsführer eines Krankenhauses, der eine rechtswidrige Datenverarbeitung angewiesen hat. Der klagende Patient richtete die Klage sowohl gegen die Krankenhausgesellschaft (Beklagte zu 1)) als auch gegen die Geschäftsführung (Beklagte zu 2)).

Die Urteilsbegründung lautete wie folgt:

Sowohl der Beklagte zu 1) als auch der Beklagte zu 2) sind verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet (Gola, Bearb. Gola, DS-GVO-Kommentar, 2. Aufl. 2018, Art. 4 Rz. 48; Ambrock ZD 2020, S. 429 – nach beck-online). Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.

OLG Dresden, Urteil vom 30.11.2021 - 4 U 1158/21 Abs. II Nr. 1

https://oj.is/2381765

Weisungsgebundene Angestellte

Weisungsgebundene Angestellte haften nach Klarstellung des Urteils in der Regel nicht für Datenschutzverletzungen aus Art. 82 DS-GVO.

Das OLG Dresden leitet die Haftung der Geschäftsführung daraus ab, dass diese über die Datenverarbeitung entescheiden kann. Bisher ist die juristische Literatur davon ausgegagen, dass Geschäftsführer im Rahmen ihrer Organschaft für Rechtsverletzungen gegenüber der Gesellschaft haften. Hier wird der Haftungsrahmen allerding so erweitert, dass der Geschäftsführer persönlich für Rechtsverletzungen von den Geschädigten in Anspruch genommen werden kann. Eine „Freizeichnung“ durch die Gesellschafter, den Vorstand oder den Aufsichtsrat ist damit zukünftig zumindest für den Anspruch auf Schadensersatz durch Geschädigte nicht mehr möglich.