Kategorie: Allgemein

Mann liest Briefe im Briefkasten

Vorsicht vor Rechnungsmanipulation

Cyberkriminelle nutzen zunehmend Schwachstellen in der digitalen Kommunikation, um Rechnungsdokumente zu manipulieren. Dies führt dazu, dass Zahlungen auf falsche Konten umgeleitet werden, was Unternehmen und Vereine vor erhebliche Herausforderungen stellt.

Erneuter Fall der Rechnungsmanipulation

Vor dem LG Rostock (Urteil vom 20.11.2024) wurde nun ein weiterer Fall zur Rechnungsmanipulation verhandelt. Ein Handwerksbetrieb versandte eine Abschlagsrechnung per E-Mail. Kurz darauf erhielt die Kundin eine gefälschte Rechnung mit geänderter Bankverbindung und beglich den Betrag an das falsche Konto. Der Handwerksbetrieb forderte daraufhin die Zahlung erneut ein. Das LG Rostock entschied, dass die Kundin erneut zahlen müsse, da die Schuld nicht getilgt sei.

Während das OLG Schleswig in einem ähnlichen Fall zugunsten des Kunden entschied, kommt das LG Rostock zu einem anderen Ergebnis: Die Kundin muss trotz Fehlüberweisung erneut zahlen.

Abweichung vom OLG Schleswig: Keine generelle Verschlüsselungspflicht

Das OLG Schleswig hatte in einem ähnlichen Fall argumentiert, dass Unternehmen für unzureichende Sicherheitsmaßnahmen haftbar seien und eine Ende-zu-Ende-Verschlüsselung erforderlich sei. Das LG Rostock hingegen sieht keine allgemeine Verpflichtung zu einer solchen Verschlüsselung, da die DSGVO primär personenbezogene Daten schützt und eine direkte Verletzung nicht nachweisbar war.

Die Kundin hätte außerdem die Hinweise auf die Manipulation, wie die fehlerhaften Zeichen oder die geänderte Bankverbindung erkennen müssen.

Wie werden E-Mails abgefangen und manipuliert?

Cyberkriminelle setzen auf verschiedene Techniken, um in die E-Mail-Kommunikation einzudringen. Besonders häufig nutzen sie:

  • Man-in-the-Middle-Angriffe: Hierbei wird der E-Mail-Verkehr abgefangen und unbemerkt verändert.
  • Phishing und Social Engineering: Nutzer werden durch gefälschte E-Mails oder Login-Seiten dazu gebracht, Zugangsdaten preiszugeben.
  • Malware und Trojaner: Schadsoftware, die E-Mails ausspioniert und weiterleitet.
  • Spoofing: Angreifer fälschen die Absenderadresse, um vertrauenswürdig zu erscheinen.
  • Reply-Chain-Attacken: Angreifer übernehmen ein E-Mail-Konto und setzen eine bestehende E-Mail-Kommunikation mit einer manipulierten Nachricht fort.
  • E-Mail-Weiterleitungsregeln: Cyberkriminelle richten oft unbemerkt automatische Weiterleitungen ein, um E-Mails mitzulesen oder zu manipulieren.

Bei manipulierten Rechnungen ersetzen Angreifer oft unauffällig die Bankverbindung oder verändern Dateianhänge, sodass Kunden unbemerkt Zahlungen an falsche Konten leisten.

Warum schützt Ende-zu-Ende-Verschlüsselung?

Bei herkömmlicher Transportverschlüsselung wird die E-Mail nur auf dem Übertragungsweg gesichert – nicht aber auf den Mailservern. Angreifer, die Zugriff auf Server oder zwischengeschaltete Systeme haben, können Nachrichten weiterhin lesen oder manipulieren.

Ende-zu-Ende-Verschlüsselung hingegen stellt sicher, dass nur Sender und Empfänger die Nachricht entschlüsseln können.

Was bedeutet das für Unternehmen und Vereine?

Neben der von mir bevorzugten Kombination aus Transportverschlüsselung und einer digitalen Signatur, ist es auch sinnvoll, Kunden und Geschäftspartner zu sensibilisieren, Rechnungen sorgfältig zu prüfen.

Cyberangriffe, insbesondere Phishing oder Spoofing, nutzen menschliche Fehler aus. Regelmäßige Schulungen und Hinweise, wie legitime Rechnungen aussehen und woran Manipulationen erkennbar sind, können das Risiko senken. Verantwortliche sollten zudem klare Kommunikationswege für Rechnungsanfragen etablieren (z. B. Rückruf zur Verifizierung bei Kontoänderungen). Eine manuelle Überprüfung von Bankverbindungen bei ungewöhnlich hohen Rechnungen oder bei erstmaliger Zahlung an einen neuen Geschäftspartner können die die Risiken weiter senken.

Eine sichere Alternative kann auch der Rechnungsdownload über ein geschütztes Kundenportal sein, um das Risiko von Manipulationen in der E-Mail-Kommunikation zu minimieren.

Rechtsanwalt Robert Harzewski

Hinweisgeberschutzgesetz

Hinweisgeberschutzgesetz

Mit dem neuen Hinweisgeberschutzgesetz (HinSchG) gibt es nun die gesetzliche Pflicht zum Einrichten einer internen Meldestelle für Unternehmen mit über 50 Beschäftigten. Bereits ab dem 02.07.2023 müssen Unternehmen mit 250 oder mehr Beschäftigten die gesetzlich erforderlichen „internen Meldestellen“ und die damit zusammenhängenden Meldekanäle eingerichtet haben. Verstöße gegen die wesentlichen Vorgaben des HinSchG können als Ordnungswidrigkeiten mit einer Geldbuße geahndet werden können.

 

Benötigen Sie noch eine Lösung für Ihr Unternehmen, dann kommen Sie gern auf mich zu. Unter Ihre interne Meldestelle finden Sie weitere Informationen zu meinem Angebot.

 

Ziel des Hinweisgeberschutzgesetzes

Das Hinweisgeberschutzgesetz zielt darauf ab, den bisher unzureichenden Schutz von Hinweisgebern zu verbessern und die EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937) in nationales Recht umzusetzen. Es soll sowohl den Schutz von Hinweisgebern als auch von Personen, die von einer Meldung betroffen sind, stärken und sicherstellen, dass ihnen keine Nachteile gemäß den Bestimmungen dieses Gesetzes drohen.
Bisher gab es in Deutschland kein umfassendes und einheitliches System zum Schutz von Hinweisgebern. In der Vergangenheit wurden Hinweisgeber daher immer wieder benachteiligt.
Zu melden sind künftig zum Beispiel Verstöße gegen Strafvorschriften und bußgeldbewährte Verstöße gegen den Arbeitsschutz, Gesundheitsschutz, das Mindestlohngesetz oder Vorgaben des Arbeitnehmerüberlassungsgesetzes.

 

Meldestellen

Nach § 12 HinSchG haben Unternehmen dafür zu sorgen, dass bei ihnen mindestens eine Stelle für interne Meldungen eingerichtet ist und betrieben wird, an die sich Beschäftigte wenden können (interne Meldestelle).

 

interen und externe Meldestellen

Hinweisgeber haben dabei die Möglichkeit, sich entweder an eine "interne Meldestelle" im Unternehmen oder an eine "externe Meldestelle" bei den Behörden zu wenden. Gemäß § 16 des Hinweisgeberschutzgesetzes müssen die Meldekanäle so gestaltet sein, dass nur die dafür zuständigen Personen und diejenigen, die bei der Bearbeitung der Meldungen unterstützen, Zugriff auf die eingehenden Meldungen haben. Unberechtigte Personen dürfen daher keinen Zugriff auf die Identität des Hinweisgebers oder den Inhalt des Hinweises erhalten.
Interne Meldekanäle müssen es zudem ermöglichen, Meldungen sowohl mündlich als auch schriftlich abzugeben. Mündliche Meldungen können telefonisch oder über andere sprachbasierte Kommunikationsmittel erfolgen. Auf Anfrage des Hinweisgebers muss innerhalb angemessener Zeit ein persönliches Treffen mit einer für die Entgegennahme der Meldung zuständigen Person der internen Meldestelle ermöglicht werden.

Unabhängige Tätigkeit; notwendige Fachkunde

Gemäß § 15 des Hinweisgeberschutzgesetzes müssen die Personen, die mit den Aufgaben einer internen Meldestelle betraut sind, unabhängig bei der Ausübung ihrer Tätigkeit sein. Sie dürfen neben ihrer Tätigkeit für die interne Meldestelle auch andere Aufgaben und Pflichten haben. Es muss jedoch sichergestellt werden, dass solche Aufgaben und Pflichten keine Interessenkonflikte verursachen.
Darüber hinaus ist das Unternehmen verpflichtet, sicherzustellen, dass die mit den Aufgaben einer internen Meldestelle betrauten Personen über die erforderliche Fachkompetenz verfügen.

 

Zeitplan für die Umsetzung

  • weniger als 50 Mitarbeitende: keine Verpflichtung für interne Meldestelle
  • zwischen 50 und 249 Mitarbeitenden: eine interne Meldestelle ab 17.12.2023
  • mehr als 250 Mitarbeitende: eine interne Meldestelle ab 02.07.2023

 

Hinweisgeberschutzgesetz und der Datenschutz

Das neue Gesetz bringt auch Berührungspunkte mit dem Datenschutz mit sich:

  • Nach § 2 Abs. 1 Nr. p) HinSchG müssen künftig auch Verstöße gegen den Datenschutz gemeldet werden.
  • Nach § 10 HinSchG sind die Meldestellen befugt, personenbezogene Daten und sogar besondere Kategorien von Daten zu verarbeiten, soweit dies zur Erfüllung ihrer in den §§ 13 und 24 HinSchG bezeichneten Aufgaben erforderlich ist.
  • Bei der Geltendmachung von Auskünften nach Art. 15 DSGVO sind ggfls. Informationen wie die Identität einer hinweisgebenden Person geheim zu halten.
  • Da nach Auffassung der DSK die Meldung von Missständen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, bedarf es im Einzelfall einer Datenschutz-Folgenabschätzung (DSFA).

Rechtsanwalt Robert Harzewski

Geschäftsführer haften persönlich

Geschäftsführer haften persönlich!

Der Geschäftsführer einer GmbH kann neben der Gesellschaft “Verantwortlicher” im Sinne der DSGVO sein. Dies hat das OLG Dresden mit Urteil vom 30.11.2021, Az.: 4 U 1158/21, entschieden.

Sollte sich diese Rechtsauffassung durchsetzen, dann müssen Geschäftsführer künftig damit rechnen, bei Datenschutzverstößen in Anspruch genommen zu werden. Geschäftsführer haften dann persönlich.

Als „Verantwortlicher“ wird grundsätzlich die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle verstanden, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Frage ist also, ob man für die Verarbeitung zuständig ist. Diese Entscheidungszuständigkeit kann sich ergeben durch:

  • eine ausdrücklich gesetzlich zugewiesene Zuständigkeit (z.B. Verpflichtung, bestimmte Daten vorzuhalten oder bereitzustellen).
  • eine implizierte Zuständigkeit, abgeleitet aus traditionell bestehenden Rollen oder aus der Rechtspraxis (z.B. Arbeitgeber in Bezug auf Daten seiner Mitarbeiter).
  • den tatsächlichen Einfluss

In der Vergangenheit wurden Abgrenzungsfragen vor allem in Hinblick auf die Gemeinsame Verantwortlichkeit gestellt. In diesem Zusammenhang hatte der EuGH bereits eine Verantwortlichkeit angenommen, selbst wenn ein Akteur gar keinen Zugang zu den betreffenden Daten hatte (Urteil des EuGH vom 10.07.2018, Az: C-25/17).

Nach dem Urteil des OLG Dresden bleibt leider offen, welcher konkrete Tatbeitrag eines Geschäftsführers für eine persönliche Haftung erforderlich ist. Im Fall hatte der Geschäftsführer einen Datenschutzverstoß selbst veranlasst. Demgegenüber grenzt das Gericht die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter ein. Bei diesen entfalle in aller Regel die Verantwortlichkeit.

In jedem Fall ist es ratsam, das ohnehin schon bestehende Haftungsrisiko, mit einem Datenschutzmanagementsystem, zu minimieren. So kann der Verantwortliche ein betriebliches Organisationsverschulden vermeiden. Sowohl bei dem zivilrechtlichen Schadensersatzanspruch, als auch bei der Bescheidung von Bußgeldern gilt das Verschuldensprinzip. Ohne Verschulden kann es keine Strafe geben. Daher ist ein Verschulden in der Praxis möglichst auszuschließen bzw. zumindest stark zu minimieren. Dadurch gelingt der Nachweis, dass der Verantwortliche alles getan hat, um das Entstehen eines Schadens zu verhindern.

 

Update vom 24.10.2022

Nun hat auch das OLG Nürnberg eine persönliche Haftung der Geschäftsführung einer GmbH gemäß § 43 Abs. 2 GmbHG angenommen, wenn keine oder unzureichende Compliance-Maßnahmen getroffen werden (OLG Nürnberg, Endurteil v. 30.03.2022 – 12 U 1520/19). Das Gericht stellte dabei vor allem fest, dass eine gelegentliche Prüfung nicht ausreicht.

Zu den Kernaussagen:

Nach Auffassung des Gerichts sind Geschäftsführer verpflichtet, ein Compliance Management System einzurichten. Es bedarf also organisatorische Vorkehrungen, welche die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern. Dabei ist der Geschäftsführer nicht nur verpflichtet, den Geschäftsgang so zu überwachen oder überwachen zu lassen, dass er unter normalen Umständen mit einer ordnungsgemäßen Erledigung der Geschäfte rechnen kann; er muss vielmehr weitergehend sofort eingreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen.
Eine Pflichtverletzung liegt jedoch schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. Diesbezüglichen Verdachtsmomenten muss der Geschäftsführer unverzüglich nachgehen. Zur Überwachungspflicht gehört außerdem eine hinreichende Kontrolle, die nicht erst dann einsetzen darf, wenn Missstände entdeckt worden sind. Ihre Intensität darf sich je nach Gefahrgeneigtheit der Arbeit und Gewicht der zu beachtenden Vorschriften nicht in gelegentlichen Überprüfungen erschöpfen. Über diese allgemeine Kontrolle hinaus muss der Geschäftsführer die Aufsicht so führen, dass Unregelmäßigkeiten auch ohne ständige unmittelbare Überwachung grundsätzlich unterbleiben. Danach sind stichprobenartige, überraschende Prüfungen erforderlich und regelmäßig auch ausreichend, sofern sie den Unternehmensangehörigen vor Augen halten, dass Verstöße entdeckt und geahndet werden können
Delegiert der Geschäftsführer seine Überwachungsaufgabe, reduziert sich die effektive Überwachungspflicht des Geschäftsführers auf die ihm unmittelbar unterstellten Mitarbeiter und deren Führungs- und Überwachungsverhalten ("Überwachung der Überwacher"). Man spricht insoweit von einer Meta-Überwachung.

 

Rechtsanwalt Robert Harzewski

Testbeitrag

Allgmeiner Test