Vorsicht bei verdächtigen Mails

24.05.18 08:12

Betrüger nutzen DSGVO als Einfallstor

Von Jakob Eich

Ab dem 25. Mai müssen sich Unternehmen an die neue EU-Datenschutzverordnung halten. Betrüger nutzen die DGSVO allerdings als Schlupfloch zu sensiblen Informationen – das sollten Treasurer beachten.

Betrüger nutzen die DSGVO gerne als Einfallstor für Phishing-Mails. Treasurer können sich aber schützen.

malchanovdmitry/iStock/Thinkstock/Getty Images

Betrüger nutzen die DSGVO gerne als Einfallstor für Phishing-Mails. Treasurer können sich aber schützen.

Kriminelle könnten die Datenschutzgrundverordnung (DSGVO), die ab Morgen gilt, als Einfallstor für Betrugsmaschen nutzen. So machen momentan zahlreiche E-Mails die Runde, die Mitarbeiter dazu auffordern, einen Link zu klicken, um etwa einen Newsletter weiter zu beziehen. Tatsächlich zwingt die DSGVO viele Unternehmen zu solchen Maßnahmen.

Genau hier setzen die Betrüger an. Sie versenden sogenannte Phishing-Mails unter dem Vorwand des Datenschutzes, warnt der Bundesverband Deutscher Banken (BDB). Die Masche habe „Hochkonjunktur“. Die Mails können täuschend echt aussehen, führen aber über einen Link auf mit Viren infizierte Seiten.

Dadurch können die Betrüger unter Umständen sensible Daten auslesen, wenn sie sich auf dem Rechner des Treasury-Experten einnisten. Oft bleibt eine solche Infiltration in die Systeme monatelang unentdeckt.

DSGVO: Bankenverband gibt Tipps gegen Kriminelle

Doch es gibt einfache Gegenmittel. Der Bankenverband BDB schreibt, keine Bank werde eine solche Nachricht an seine Kunden verschicken. Man solle daher niemals den Link anwählen sowie persönliche Daten oder Passwörter eintippen. Im Zweifel sollten Treasurer direkt bei ihrem Firmenkundenbetreuer anrufen, um den Inhalt zu besprechen. Zudem sollten Treasury-Mitarbeiter bei Mails von Nicht-Banken genau abwägen, ob sie auf den Link klicken sollten.

Am morgigen Freitag tritt die heiß diskutierte Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU) in Kraft. Davon besonders betroffen sind Konzerne, die viel Endkundengeschäft vorweisen, weil das neue Gesetz den Schutz personenbezogener Daten gewährleisten soll.

Zwar gehört der Datenschutz im Treasury nicht zum Kernthema. Dennoch sollten Treasurer mit dem Inkrafttreten der Richtlinie einiges beachten.

Zahlungsverkehrsdaten von DSGVO betroffen

Unternehmen müssen beispielsweise im Zahlungsverkehr umfassendere Dokumentationspflichten nachkommen. Fortan sind Treasurer gezwungen nachzuweisen, wer Zugriff auf Zahlungsverkehrsdaten hat. „Zudem müssen die Betroffenen in die Nutzung ihrer personenbezogenen Daten einwilligen, und zwar individuell“, sagte Ulrich Korth, Partner der Kanzlei Morgan Lewis, gegenüber FINANCE, einer Schwesterpublikation von DerTreasurer.

Auch Personal- und manche Lieferantenzahlungen müssen besser geschützt werden als bisher. Der Grund: Unternehmen sind verpflichtet, den Betroffenen im Zuge der DSGVO viel mehr Details als bisher vorab in verständlicher Sprache mitzuteilen. Ein Passus in den allgemeinen Geschäftsbedingungen reiche nicht mehr aus, so Korth. Eine gesonderte Unterschrift ist für den Nachweis notwendig.

Beim Datenschutz im Zahlungsverkehr gilt dazu das Prinzip der Datenminimierung. Treasurer müssen Daten anonymisieren oder löschen, sobald sie diese nicht mehr benötigen. „Insbesondere Auskunftspflichten und Löschfristen werden verschärft“, erklärt Nils Purwin, Zahlungsverkehrsexperte bei der Beratung PPI. Big-Data-Analysen durchzuführen werde durch die DGSVO entsprechend erschwert. Auch ein internes Bonitätsranking seiner Kunden verkompliziert das Gesetz, da ein betroffener Lieferant der Nutzung seiner Daten schlicht widersprechen kann.

Drastische Strafen drohen bei Verfehlungen

Hintergrund: Die EU hatte die DSGVO Mitte 2016 verabschiedet. Ursprünglich sollte die DSGVO die Datensammelwut großer Konzerne wie Google und Facebook eindämmen. Jetzt trifft das Gesetz allerdings die gesamte Wirtschaft, teils mit ungewollten Nebenwirkungen.

Ein Verstoß gegen die Vorgaben ist kein Bagatelldelikt: Die EU droht drastische Strafen an. Bei Pflichtverletzungen drohen Strafzahlungen von bis zu 20 Millionen Euro oder von bis zu 4 Prozent des weltweiten Konzernumsatzes – je nach dem, welcher Wert höher liegt. Betroffene können Unternehmen zudem verklagen und Schadenersatz fordern.

Entsprechend alarmiert sind viele Konzerne momentan. Dennoch sind erst ein Viertel deutscher Unternehmen auf die DSGVO vorbereitet, wie der Digitalverband Bitkom in einer aktuellen Umfrage herausgefunden hat. Es herrscht also noch Nachholbedarf.

Eich[at]derTreasurer.de

Mehr Wissenwertes zum Thema finden Sie auf der Themenseite Datenschutz im Treasury.