Wie zu erwarten war, wird das Informationsbedürfnis der Bevölkerung bezüglich der Corona-Pandemie von Straftätern für ihre kriminellen Aktivitäten genutzt. So werden insbesondere Phishing-Mails verschickt, um an personenbezogene Daten der Betroffenen zu gelangen.
Beispielsweise wurden Kunden von Sparkassen unter dem Vorwand der Schließung von Filialen aufgrund der Corona-Pandemie dazu aufgefordert, eine in der Mail angegebene Webseite aufzurufen, dort höchst persönliche Daten einzugeben, um weiterhin eine Kommunikation mit dem „Kunden“ gewährleisten zu können.
Was ist Phishing?
Phishing ist ein Kunstwort, das aus den Wörtern Password, Harvesting und Fishing besteht und dementsprechend das „Fischen“ und „Ernten“ von Passwörtern und anderen sensiblen Daten (z. B. Benutzername, Kontonummer, PIN, TAN, Kreditkartennummer) zum Ziel hat. Dabei wird die Gutgläubigkeit von Internet-Usern ausgenutzt, um in den Besitz dieser sensiblen Informationen zu gelangen und sie und/oder Andere damit schädigen zu können.
Im Regelfall läuft ein solcher Phishing-Angriff in zwei Phasen ab: Zunächst wird unter einem Vorwand eine E-Mail verschickt, die einen Link enthält, den das Opfer dazu nutzen soll, eine bestimmte (ihm scheinbar vertraute) Web-Seite aufzusuchen. Diese Mail allein ist noch nicht schädlich. Folgt der Betroffene jedoch der Aufforderung, gelangt er auf die Web-Seite eines Betrügers, die einer echten Home-Page einer vertrauenswürdigen Institution täuschen ähnlich erscheint. Hier wird der Gutgläubige dann zur Preisgabe vertraulicher Daten verleitet, die vom Täter missbräuchlich verwendet werden und womit ein Schaden für das Opfer oder eine andere Person entstehen kann.
Eine andere Variante besteht darin, ein Formular direkt in eine HTML-Mail einzubinden, das zur Eingabe vertraulicher Daten auffordert und diese nach dem Eintrag sofort an den Absender verschickt. Bei dieser Methode ist nicht einmal mehr der Einbezug einer Web-Seite erforderlich.
Muss eine Meldung einer Verletzung des Schutzes personenbezogener Daten erfolgen?
Hat eine Phishing-Attacke zu einer Verletzung des Schutzes personenbezogener Daten (z. B. durch deren Offenlegung) geführt, liegt eine Datenschutzverletzung vor, die nach Art. 33 Abs. 1 Satz 1 DSGVO bei der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden zu melden ist, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (siehe Veröffentlichung vom 07.05.2020 „Wann hat eine Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu erfolgen?“).
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so muss der Verantwortliche zusätzlich die betroffene Person unverzüglich von der Verletzung benachrichtigen (Art. 34 Abs. 1 DSGVO).
Die Frage, wann ein hohes Risiko besteht, beantwortet die Datenschutz-Grundverordnung nicht. Als Anhaltspunkt kann aber die frühere Regelung des § 42a BDSG-alt bieten, demgemäß ein hohes Risiko vorliegen dürfte, wenn
- besondere Arten personenbezogener Daten,
- personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
- personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
- personenbezogene Daten zu Bank- oder Kreditkartenkonten
Unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und deshalb schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.