Liebe Leserin, lieber Leser,
wir haben das Neueste aus dem Datenschutz und der Informationssicherheit im Monat April 2025 für Sie zusammengefasst.
INFORMATIONSSICHERHEIT
Save-the-Date: Cybersecurity-Event im Rahmen der Digitalen Woche in Mühldorf
Die zunehmende Intensität und Professionalität von Cyberkriminalität erfordert ein entschlossenes und systematisches Handeln von Unternehmen aller Größenordnungen. Angesichts der Fülle an Informationen fällt es jedoch oft schwer, dabei den Überblick zu behalten und gezielt wirksame Maßnahmen umzusetzen.
Wir möchten Licht ins Dunkel bringen und laden Sie im Rahmen der Digitalen Woche und in Kooperation mit dem Regionalmanagement Inn-Salzach zum kostenlosen Cybersecurity-Event in Mühldorf ein:
- Donnerstag, den 26. Juni 2025 von 9-12 Uhr
- Seminarraum der Byodo Naturkost GmbH (Leiseder Straße 2 in 84453 Mühldorf)
Diese Themen stehen auf der Agenda:
- Aktuelles IT-Recht: NI2-Richtlinie
- Cyber-Awareness & Sensibilisierung von Mitarbeitenden
- Beispiel aus der Praxis: Ein gehacktes Unternehmen berichtet
Wenn Sie sich jetzt schon einen der limitierten Plätze sichern möchten, senden Sie uns einfach eine E-Mail an marketing@ines-it.de. Weitere Informationen mit einem Anmeldelink folgen in Kürze in einem Sondernewsletter.
DATENSCHUTZ
Betroffenenrechte DSGVO-konform umsetzen - so gelingt es in der Praxis!
In unserem neuen Artikel erfahren Sie, warum ein klar vordefinierter und strukturierter Umsetzungsprozess für Betroffenenrechte entscheidend ist. Außerdem stellen wir Ihnen die Erkenntnisse der europaweiten Prüfaktion zum Auskunftsrecht aus dem Jahr 2024 vor – ergänzt durch unsere praktischen Handlungsempfehlungen.
DATENSCHUTZ
BayLDA veröffentlicht Tätigkeitsbericht 2024
Bereits zum 14. Mal hat das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) seinen Tätigkeitsbericht veröffentlicht - in diesem Jahr erstmals ergänzt durch eine informative Podcastfolge. Im Mittelpunkt stehen aktuelle Entwicklungen im Datenschutz, darunter die Auswirkungen der KI-Verordnung, die zunehmende Cyberkriminalität und das Spannungsfeld zwischen Datenschutz und Digitalisierung.
INFORMATIONSSICHERHEIT
Europäische Alternativen zu US-Dienstleistern auf einen Blick
In einer Zeit, in der Daten zu den wertvollsten Gütern zählen, rückt die Nachfrage nach vertrauenswürdigen digitalen Dienstleistern immer stärker in den Fokus unternehmerischer Entscheidungen. Für viele ist der Schutz sensibler Informationen längst ein entscheidendes Kriterium bei der Auswahl eines Dienstleisters geworden. Aber gerade bei nicht-europäischen Anbietern bestehen häufig intransparente Datenverarbeitungsgesetze - und das ist problematisch. Der österreichische Softwareentwickler Constantin Graf möchte mit seiner Webseite 'European Alternatives' genau hier ansetzen. Die Plattform bietet eine Übersicht mit EU-Alternativen zu gängigen US-Dienstleistern - von Cloud-Diensten bis hin zu KI-Chatbots. Das Datenarchiv ist eine nützliche Orientierungshilfe für all jene, die bewusst auf europäische Lösungen setzen wollen.
INFORMATIONSSICHERHEIT
Auch Sicherheitsexperten sind nicht vor Phishing gefeit
Der Moment, in dem man auf Phishing hereinfällt, erschüttert das Vertrauen in die eigene Wachsamkeit. Diese Erfahrung machte kürzlich auch Troy Hunt, Gründer des Datenleck-Prüfdienstes 'Have I Been Pwned' (HIBP). Ausgerechnet er fiel auf eine Phishing-Mail herein, die den Abfluss seiner Mailchimp-Mailingliste zur Folge hatte. Trotz seines Fachwissens loggte er sich auf der täuschend echten Phishing-Seite ein. Im Nachhinein gab er Müdigkeit und Jetlag als Gründe für seine Unaufmerksamkeit an. In einem Blogbeitrag zeigt er sich bemerkenswert transparent und berichtet offen über den Angriff.
Gerade dieser ehrliche Umgang mit dem Vorfall zeigt, dass niemand vor Phishing gefeit ist. Ein kurzer Moment der Unachtsamkeit ist menschlich. Besonders dann, wenn man übermüdet oder gestresst ist. Genau auf solche Autopilot-Momente setzen Cyberkriminelle. Vermeiden Sie daher am besten das Öffnen von E-Mails in solchen Situationen.
Aber nicht nur Awareness schützt – sondern auch die richtige Technik. Moderne Authentifizierungsverfahren wie die passwortlose Anmeldung oder die Nutzung von FIDO2-Sicherheitsschlüsseln machen Cyberkriminellen das Leben deutlich schwerer. Diese Verfahren übertragen keine Passwörter, die abgefangen werden könnten und sind daher besonders resistent gegen Phishing.
Fordern Sie gerne unser kostenloses Phishing-Awareness-Poster im A3-Format für Ihre Büroräume an. Der Quick-Check zur Erkennung von verdächtigen E-Mails kann sichtbar am Arbeitsplatz platziert werden. So bleibt das Thema IT-Sicherheit auch immer im direkten Blickfeld.
INFORMATIONSSICHERHEIT
Visueller Security-Awareness-Impuls: Unser neues KI-Poster
Ergänzend zum Phishing-Poster haben wir noch ein weiteres Awareness-Poster gestaltet – diesmal mit dem Schwerpunkt auf dem verantwortungsbewussten Umgang mit Künstlicher Intelligenz. Das Poster im A3-Format vermittelt auf anschauliche Weise, welche Fragen man sich im Arbeitsalltag bei der Nutzung von KI-Modellen stellen sollte. Auch dieses lässt sich hervorragend in Büros, Gemeinschaftsräumen oder überall dort platzieren, wo es sichtbar an die digitale Verantwortung des Einzelnen erinnert.
Schreiben Sie uns bei Interesse eine E-Mail an marketing@ines-it.de und wir lassen Ihnen das Poster gerne kostenlos zukommen.
DATENSCHUTZ
Meta AI-Training jetzt auch in Europa: Datenschutzrisiken für Unternehmen
Bereits seit 2023 ist Meta AI in den USA im Einsatz - nun ist der KI-Assistent in Whatsapp, Facebook und Instagram auch in Europa angekommen. Diese neue Funktion stellt eine einschneidende Veränderung bei der Verarbeitung von Nutzerdaten dar. Der US-Konzern möchte in Zukunft die öffentlichen Inhalte europäischer Nutzer zur Weiterentwicklung seiner KI-Modelle nutzen. Datenschützer betrachten diese Entwicklung kritisch - vor allem mit Blick auf Unternehmen.
Im Gegensatz zu normalen Whatsapp-Nachrichten erfolgt die Interaktion mit Meta AI nicht über eine Ende-zu-Ende-Verschlüsselung, sondern zentral über Meta-Server. Das führt dazu, dass Unternehmensdaten auch außerhalb der EU gespeichert und analysiert werden können. Problematisch ist, dass sich die Funktion derzeit nicht vollständig deaktivieren lässt und die KI-Integration in vielerlei Hinsicht im Konflikt zu den Grundprinzipien der DSGVO steht.
Wir empfehlen daher, alle bestehenden Schnittstellen zu Meta-Diensten im Unternehmen zu prüfen und die Mitarbeitenden für den Umgang mit KI-Tools zu sensibilisieren. Gerne unterstützen wir Sie dabei, Ihre Datenschutzpraktiken gezielt weiterzuentwickeln und die Belegschaft über die Risiken aufzuklären.
INFORMATIONSSICHERHEIT
Hochrisiko-KI: TÜV Austria veröffentlicht praxisorientierten Dokumentationsleitfaden
Die österreichische Prüfstelle hat kürzlich eine hilfreiche Dokumentenvorlage publiziert, die Verantwortliche bei der Umsetzung der Anforderungen zur technischen Dokumentation bei Hochrisiko-KI-Systemen nach Art. 11 KI-VO unterstützen soll. Die Vorlage bietet eine praxisnahe und klare Struktur, um alle relevanten technischen Informationen systematisch zu erfassen.
DATENSCHUTZ
FAQs zum Barrierefreiheitsstärkungsgesetz (BFSG)
Bereits in unserer Februar-Ausgabe haben wir auf das BFSG hingewiesen, das zum 28. Juni 2025 seine Wirkung entfalten wird. Neben der Bundesfachstelle Barrierefreiheit hat auch Rechtsanwalt Dr. Thomas Schwenke einen umfangreichen Ratgeber mit FAQ zum BFSG veröffentlicht. Falls Sie sich darüber informieren möchten, können wir Ihnen diese beiden Quellen empfehlen.
DATENSCHUTZ
Urteil des LAG Baden-Württemberg: Trendbegriff 'Digital Native' ist diskriminierend
Was gut klingt, kann teuer werden: Wer bei Stellenanzeigen auf Schlagworte wie 'Digital Native' setzt, begibt sich auf juristisch dünnes Eis und riskiert einen Verstoß gegen das Diskriminierungsverbot des Allgemeinen Gleichbehandlungsgesetzes (AGG). Das zeigt ein aktuelles Urteil des Landesarbeitsgerichts (LAG) Baden-Württemberg (Az.17 Sa 2/24). Ein abgelehnter Bewerber des Jahrgangs 1972 klagte dagegen und bekam recht. Das Gericht sprach ihm eine Entschädigung in Höhe von 7.500 Euro zu.
Die Begründung: Dem beklagten Unternehmen fehlten stichhaltige Argumente dafür, dass das Alter im Auswahlverfahren keine Rolle gespielt hatte. Das LAG wertete 'Digital Native' als eine generationenbezogene Beschreibung und die damit suggerierte altersbezogene Ungleichbehandlung als Verstoß gegen das AGG.
Dieser Fall macht deutlich, wie schnell eine vermeintlich attraktive Stellenanzeige zur juristischen Stolperfalle werden kann. Arbeitgeber sollten daher bei der Formulierung von Anforderungsprofilen sprachlich sensibel vorgehen.
INFORMATIONSSICHERHEIT
Cyberangriffe im April
Cyberkriminellen gelang es, rund 270.000 Tickets von deutschen Samsung-Kunden zu stehlen. Zugang verschafften sie sich über entwendete Anmeldedaten des Ticketing-Dienstleisters Spectos GmbH. Neben Support-Protokollen enthielten die Tickets auch weitere sensible Informationen. Das Datenleck könnte nun den Weg für gezielte Phishing-Angriffe ebnen.
HEILBRONN MARKETING GmbH (HMG)
Anfang April wurde die Heilbronn Marketing GmbH (HMG) Ziel einer Ransomware-Attacke. Die Täter legten Teile der IT-Infrastruktur lahm und hinterließen eine Lösegeldforderung, auf die jedoch nicht eingegangen wurde. In welchem Ausmaß Daten abgeflossen sind, ist derzeit noch unklar. Bereits zwei Tage nach dem Vorfall konnte der Geschäftsbetrieb wieder aufgenommen werden
BUNDESAGENTUR FÜR ARBEIT
Auch die Bundesagentur für Arbeit hat es getroffen. Hacker attackierten die Nutzerkonten von Klienten, mit dem Ziel, die hinterlegten Kontodaten in den Profilen zu ändern und so Sozialleistungen auf eigene Konten umzuleiten. Die Online-Beantragung von Geldleistungen war daher vorübergehend nicht möglich. Laut Angaben der BA entstand dank einer schnellen Reaktion aber kein finanzieller Schaden.
BRAUEREI OETTINGER
Die geschichtsträchtige bayerische Brauerei Oettinger ist Ende April auch einem Cyberangriff zum Opfer gefallen. Das Unternehmen ergriff umgehend Sicherheitsmaßnahmen. Ob Daten abgegriffen wurden, ist derzeit noch unklar. Die Produktion und Logistik sind nicht betroffen, sodass an den drei Standorten weiterhin Bier produziert und ausgeliefert werden kann.
GUENSTIGER.DE
Vor einer Woche fand ein nächtlicher Ransomware-Angriff auf einen Standort der Preisvergleichsplattform guenstiger.de statt. Daraufhin wurden alle Systeme vorsorglich vom Internet getrennt und das Rechenzentrum heruntergefahren. Von Datenverlusten kann trotz der schnellen Reaktion ausgegangen werden. Auch technische Einschränkungen auf der Webseite und in der Kommunikation gingen mit dieser Attacke einher.