Bank haftet für Phishingangriff bei Kunden – DS News KW 20/2026

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Mein Name ist Heiko Gossen.
Und mein Name ist Laura Druschinski.
Mit euch gemeinsam starten wir wieder ins Wochenende. Heute ist Freitag, der 15. Mai 2026.
Ein Brückentag. Unser Redaktionsschluss war wie immer um 10 Uhr.
Und wir schauen jetzt einmal zurück auf eine kurze Woche, Laura, oder?
Richtig, das hat man auch ein bisschen bei unseren Themen gemerkt heute Morgen.
Aber ich glaube, wir haben ein paar ganz interessante Themen dabei.
Würde ich auch behaupten, aber dann würde ich doch vorschlagen,
lass uns mal unseren Zuhörenden einen kurzen Überblick der Themen geben und
dann können ihr selber entscheiden, ob es sich lohnt oder nicht. Ob es sich lohnt.
Weiter dran zu bleiben. Nein, das auf jeden Fall. Denn ich habe einmal etwas
mitgebracht aus der Schweiz.
Nämlich hier geht es um den Swiss Health Data Space. Hier ist jetzt die Ausschreibung
veröffentlicht worden. Das fanden wir aus unserer Sicht natürlich sehr interessant.
Weiter geht es mit dem Top-Thema für heute. Nämlich eine Bank muss im großen
Umfang dafür haften, dass ein Phishing-Angriff bei einem Kunden erfolgreich war.
Und zu guter Letzt habe ich auch noch einen Veranstaltungshinweis für Ende diesen Monats.
Wunderbar. Ich würde einmal auf den Koalitionsvertrag in Baden-Württemberg schauen,
was da zum Datenschutz drin steht, nämlich einiges.
Dann hätte ich ein Update zu Google Chrome und der BSI-Studie zur Cyberkriminalität.
Und last but not least auch einen Veröffentlichungshinweis zum Urteil,
zum Russ-Media-Urteil. David? Vielen Dank.
Würde ich sagen, es lohnt sich aus unserer Sicht sowieso immer,
keine Frage, sonst würde ich mir die Meldung ja nicht mit aufnehmen. Aber lass uns loslegen.
Genau, meine erste Nachricht kommt aus der Schweiz, denn diese setzt bei Gesundheitsdaten
auf die digitale Souveränität.
Die Schweiz plant ja mit dem Swiss Health Data Space einen vernetzten Datenraum für Patientendaten.
Ziel ist der sichere Austausch von Gesundheitsdaten zwischen Ärzten,
Ärztinnen, Spitälern und weiteren Akteuren im Gesundheitswesen.
Besonders brisant bei der Ausschreibung ist jetzt, nach den bisherigen Anforderungen
soll die Infrastruktur ausschließlich Schweizer Recht unterliegen und keine
Abhängigkeit von fremden Rechtsordnungen aufweisen.
Damit wären US-Cloud-Anbieter wie Microsoft, Google oder AWS wegen des US-Cloud-Acts
faktisch kaum einsetzbar.
Der US-Cloud-Ex steht dabei im Fokus, weil ja eben US-Anbieter unter bestimmten
Voraussetzungen auch dann zur Herausgabe von Daten verpflichtet werden können,
wenn Server außerhalb der USA stehen.
Die Schweiz stellt damit nun eine Grundsatzfrage.
Also reicht ein europäischer oder schweizerischer Serverstandort aus oder braucht
es auch rechtliche Unabhängigkeit vom Zugriff aus Drittstaaten?
Gleichzeitig entsteht auch ein Spannungsfeld, denn hier gelten jetzt strenge
Souveränitätsanforderungen.
Diese können natürlich aus Sicht der Schweiz absolut den Datenschutz stärken.
Aber auch dabei betrachten muss man das Vergaberecht, beispielsweise WTU-Vorgaben,
die Gleichbehandlung aller Bieter vorschreibt,
aber auch Kosten- und Innovationsfähigkeit sind dadurch berührt.
Ein pauschaler Ausschluss von US-Fingern könnte als völkerrechtswidriger Protektionismus
gewertet werden, so die Kritiker.
Hinzu kommen gegebenenfalls diplomatische Hürden, da die Schweiz derzeit auch
Handelsabkommen mit der Trump-Regierung verhandelt.
Befürworter der Initiative sehen dagegen digitale Souveränität als zwingende
technische Sicherheitsanforderungen.
Also ob jetzt die strikten Vorgaben bis zur finalen Ausschreibung Bestand haben,
bleibt aus unserer Sicht abzuwarten.
Ich persönlich finde es natürlich sehr mutig, dass die Schweiz da so einen Schritt
nach vorne geht. Wie siehst du das?
Mutig. Ich finde es aber auch völlig legitim zu sagen, das sind sensible Daten
und da wollen wir keine anderen Jurisdiktionen drin haben.
Und es liegt ja letztendlich dann an den Firmen auch zu gucken,
wie sie sich da aufstellen.
Natürlich haben sie bestimmte Grenzen, was dann Verpflichtungen auch aus Drittstaaten
heraus angeht. Aber ich halte es völlig für legitim.
Ich finde, da könnten sich andere Projekte auch Vorbilder dran nehmen.
Durchaus.
Dann schauen wir einmal nach Baden-Württemberg. Cem Özdemir und die Grün-Schwarze
Koalition in Baden-Württemberg wollen rund 40 Prozent der Stellen bei der Datenschutzaufsicht streichen.
Die Kürzungen stehen allerdings unter dem Vorbehalt einer möglichen Neuordnung
der Datenschutzaufsicht und einer stärkeren Zentralisierung von Aufgaben.
Das ist ja ein Thema, was auf Bundesebene gerade auch diskutiert wird.
Und inwieweit Aufsichtsbehörden zentralisiert werden oder deren Funktionen zumindest
für die Privatwirtschaft.
Die Landesregierung hat die Pläne mit Bürokratieabbau und effizienteren Strukturen
begründet und geprüft werden soll unter anderem, ob Aufgaben künftig stärker
zwischen Bund und Ländern gebündelt werden können.
Also wie gesagt, im Prinzip das, was wir ja schon auf Bundesebene an Diskussion
kennen. Die Einsparungen wirken deshalb bislang eher wie ein politisches Zielbild,
als vielleicht wie ein sofortiger Personalabbau.
Gleichzeitig plant die Koalition einen stärkeren Einsatz von künstlicher Intelligenz
und digitalen Sicherheitswerkzeugen.
Besonders auffällig ist der geplante Ausbau intelligenter Videoüberwachung.
Pilotprojekte wie die KI-gestützte Überwachung in Mannheim,
Sollen auch weitere Standorte ausgeweitet werden und dabei soll KI nicht nur
Verhaltensmuster erkennen, sondern auch gefährliche Gegenstände identifizieren.
Außerdem will man auch die biometrische Fernerkennung nutzen.
Der Landesdatenschutzbeauftragte Tobias Keber, unseren Zuhörern ja hoffentlich
wohl bekannt, hat erklärt, seine Behörde unterstütze einen ermöglichenden und
gestaltenden Datenschutz, der Innovation und KI-Anwendungen rechtssicher begleiten sollte.
Das haben wir ihn ja auch bisher mal wahrgenommen. Zugleich hat er aber auch
davor gewarnt, dass Unternehmen, Vereine und Bürger bei einer Zentralisierung
wichtige Ansprechpartner vor Ort verlieren könnten.
Das deckt sich ja auch so ein bisschen mit der Themenfolge, die ich mit ihm
dazu hatte. Also von daher, wer da nochmal reinhören mag, ist natürlich gerne eingeladen.
Zurück zum Koalitionsvertrag.
Auch Datenschutzverbände haben Bedenken geäußert. Sie haben nämlich darauf hingewiesen,
dass die Datenschutzgrundverordnung unabhängige und ausreichend ausgestattete
Aufsichtsbehörden verlange.
Also ob die gekürzten oder die geplanten Kürzungen jetzt mit diesen Vorgaben
vereinbar sind, das wird dann wahrscheinlich auch noch diskutiert,
wenn es dann ein bisschen spruchreifer wird.
Wenn es falsch ist. Aber grundsätzlich ist man ja erstmal irritiert,
wenn es heißt, eine Aufsichtsbehörde soll Stellenabbau betreffen.
Genau und das andere Medien natürlich auch sozusagen als Kernaufhänger genommen.
Ich finde es fair auch zu sagen, naja es gibt Abhängigkeiten und die sollte
man natürlich auch mit erwähnen.
So ist es.
Die Apobank muss Phishing-Schaden fast vollständig erstatten.
Das Landgericht Berlin 2 hat am 22.
April die Deutsche Apotheker- und Ärztebank zur Rückzahlung von rund 218.000 Euro verurteilt.
Ein Kunde war Opfer einer professionellen Phishing-Masche geworden.
Die Täter kombinierten einen täuschend echten Brief im Apobank-Design mit einem
QR-Code, der zu einer gefälschten Webseite
führte, um sich für ein neues Sicherheitsverfahren zu registrieren.
Die manipulierte Webseite war optisch kaum vom echten Bankingportal zu unterscheiden.
Ergänzt wurde der Betrug durch einen Anruf einer angeblichen Bankmitarbeiterin.
Sie wirkte authentisch, kannte Kontodetails und leitete das Opfer durch den Prozess.
Die Bank verweigerte die Erstattung mit dem Argument, der Kunde habe grob fahrlässig gehandelt.
Das Gericht sah das jetzt aber anders. Die Täuschung sei so professionell gewesen,
dass sie für Laien nicht ohne weiteres erkennbar war.
Der Kunde muss nun lediglich den gesetzlichen Eigenanteil von 50 Euro tragen.
Wichtig im Verfahren ist vor allem die Aussage zur Beweislast.
Die Apobank hatte zwar selbst vor sogenannten Quishing-Attacken gewarnt,
doch solche Warnhinweise reichen nicht aus, wenn die kriminelle Inszenierung
eine überzeugende Gesamtautorität ausstrahlt, So das Gericht.
Die Bank hätte im Fall konkret nachweisen müssen, dass der Kunde eine besonders
schwere Sorgfaltspflichtverletzung begangen hat.
Außerdem deutet das Gericht im Urteil Ansätze für notwendige Früherkennungssysteme an.
Die Bank hätte den Betrug erkennen und unterbinden können, da die Einwahl des
Kunden und die gleichzeitige Registrierung eines neuen Geräts durch die Täter
über vollkommen unterschiedliche IP-Adressen und Provider erfolgte.
Diese offensichtliche Diskrepanz wurde auf technischer Seite nicht durch automatisierte
Sicherheitsmechanismen blockiert.
Eine Besitzprüfung wäre technisch also nicht unmöglich gewesen.
Das Urteil ist jetzt zwar noch nicht rechtskräftig, ist aber sicherlich eine
Signalwirkung für zahlreiche weitere Verfahren.
Aus Datenschutzsicht zeigt der Fall zudem, wie gefährlich mittlerweile Social
Engineering geworden ist.
Also Täter nutzen mehrere Kommunikationskanäle, täuschen Vertrauen vor und verwenden
offenbar kontextbezogene Informationen, um ihre Angriffe besonders glaubwürdig wirken zu lassen.
Außerdem jetzt auch für die Banken insbesondere, aber das gilt natürlich auch
für andere Unternehmen, dass Betrugsprävention sich natürlich auch weiterentwickeln muss.
Also technisch und organisatorisch, wir haben es ja an sehr vielen anderen Stellen
ja auch im Datenschutzbereich, sich immer wieder zu hinterfragen,
sind meine Maßnahmen denn überhaupt noch angemessen und in dem Fall hier können
Schäden dann dadurch auch eben nicht ohne weiteres auf die Kunden,
die der Sache aus dem Lein gegangen sind, abgewälzt werden.
Ich fand das Urteil jetzt super interessant, wie gesagt, aus den zuvor genannten Gründen.
Mir ist auch kein Urteil bekannt, dass in der Art und Weise auch da voll ein
Unternehmen so in die Haftung nimmt.
Ich finde es auch interessant, den Punkt mit der Überprüfbarkeit von verschiedenen
IP-Adressen und Providern und so weiter.
Da könnte man natürlich durchaus gucken, was ist da in der Bank möglich.
Ich finde es aber auch schwierig, ehrlicherweise. Man muss es ja auch am Ende
sehen, wir zahlen es ja alle.
Also alle anderen Bankkunden zahlen das am Ende ja irgendwie auch mit.
Ja, ich bin mal gespannt. Ich finde es nicht ganz so einfach.
Unternehmen und Internetnutzer stehen beim Einsatz von Chrome gegebenenfalls
vor einem Zielkonflikt zwischen mehr Schutz durch KI und möglicher Datenübermittlung an Google.
Denn Google hat in der neuen Chrome-Version 148 einen Hinweis auf lokale Verarbeitung
aus der Dokumentation entfernt.
Dabei geht es um KI-Funktionen im Browser, die Inhalte analysieren und Nutzer
unter anderem auch auf Phishing-Versuche aufmerksam machen sollen.
Bislang hatte Google hervorgehoben, dass diese Verarbeitung lokal auf dem Gerät stattfindet.
Die Vermutung, dass Daten dennoch an Google übertragen werden könnten,
ist laut Heise Online entstanden, nachdem entsprechende
Hinweise in den Entwicklerinformationen geändert worden sind.
Kritiker sehen darin nun ein mögliches Indiz dafür, dass die Datenverarbeitung
nicht mehr vollständig lokal erfolgt oder zumindest weniger transparent beschrieben wird.
Google selbst hat sich zu den Vorwürfen bisher aber noch nicht geäußert.
Parallel dazu hat das Bundesamt für Sicherheit in der Informationstechnik,
das BSI, den Cyber-Sicherheitsmonitor 2026 veröffentlicht.
Die Studie hat gezeigt, dass Cyberkriminalität für viele Internetnutzer ein
alltägliches Risiko geworden ist, denn demnach ist inzwischen jeder neunte Onliner
von digitaler Kriminalität betroffen gewesen.
Besonders häufig ging es hier eben um Phishing-Angriffe kompromittierter Konten
und den Verlust natürlich von persönlichen Daten.
Damit wird die Diskussion um KI-Funktionen im Browser auch für Unternehmen meines
Erachtens relevanter, denn KI-gestützte Schutzmechanismen können natürlich helfen,
Angriffe schneller zu erkennen, keine Frage, und Nutzer auch zu unterstützen.
Gleichzeitig müssen Unternehmen aber auch prüfen, welche Daten durch solche
Funktionen natürlich verarbeitet werden und ob dabei Informationen an Google
übertragen werden könnten.
Denn man hat natürlich auch im Unternehmen ja zum Beispiel viele interne,
webbasierte Anwendungen, die dann mit dem Browser vielleicht genutzt werden.
Deswegen sollten Unternehmen meines Erachtens natürlich insbesondere für sensible
Unternehmensinhalte auch prüfen.
Und schauen, inwieweit hier die Transparenz der Browser-Hersteller ausreicht
und die tatsächlichen Datenflüsse dann auch letztendlich geprüft werden können.
Kommen wir zu unserer Rubrik Veröffentlichung und Veranstaltung.
Und ich möchte mit einer Veranstaltung starten und zwar auch in Baden-Württemberg
und auch zum Thema Videoüberwachung.
Heiko, wie du es ja vorhin schon einmal kurz angesprochen hattest.
Und zwar führt die Behörde durch, also im Namen des Landesbeauftragten für den
Datenschutz, dort zu einer Online-Sprechstunde ein am 26.
Mai. Anlass dafür ist das neue Landesdatenschutzgesetz, das den Einsatz von
Videoüberwachung ausweitendet.
Prof. Tobias Keber betont im Rahmen der Einladung, dass öffentliche Stellen,
sei es Kommunen, Schwimmbäder, aber auch Schulen die neuen Regeln kennen müssen.
Die Veranstaltung vermittelt eben das entsprechende Wissen dazu.
Wann ist Videoüberwachung zulässig und wo liegen denn auch die Grenzen?
Ergänzt wird das durch ein kompaktes Infoblatt, das auch auf der Webseite des
11.i Baden-Württemberg abrufbar ist.
Jetzt gehen wir noch an die andere Seite der Republik, nach Norden.
Der hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine
ausführliche Bewertung zum sogenannten
Russ-Media-Urteil des Europäischen Gerichtshofs veröffentlicht.
Das Urteil selbst, wir haben ja in KW 49 letzten Jahres dazu auch ausführlich
berichtet, hat teilweise neue Maßstäbe für die datenschutzrechtliche Verantwortlichkeit
von Social-Media-Plattformen gesetzt.
Deswegen kurz zur Erinnerung. Der EuGH hatte sich mit der Frage beschäftigt,
wann Plattformbetreiber für rechtswidrige Inhalte oder Datenschutzverstöße ihre
Nutzer mitverantwortlich sein können.
Und im Mittelpunkt stand die Abgrenzung zwischen technischer Bereitstellung
einer Plattform und einer aktiven Beteiligung an der Verarbeitung personenbezogener Daten.
Die Hamburger Dantstaufsicht hat das Urteil nun eingeordnet und die möglichen
Folgen für Unternehmen, aber auch Behörden und Plattformbetreiber,
Erläutert und geht dabei unter anderem der Frage nach, wann Betreiber als gemeinsame
Verantwortliche gelten können
und welche Anforderungen sich daraus dann auch für die Praxis ergeben.
Interessant dürfte die Veröffentlichung vor allen Dingen für Datenschutzbeauftragt,
aber natürlich auch Compliance-Verantwortliche sein, die Social-Media-Dienste
einsetzen oder auch eigene Plattformangebote natürlich betreiben.
Ich denke auch für Verantwortliche im Online-Marketing oder für Organisationen
mit Community- oder Nutzerplattformen liefert die Bewertung vielleicht Hinweise
zur zukünftigen Auslegung dann auch der Verantwortlichkeit im europäischen Datenschutzrecht.
Die ausführliche Analyse des Hamburger BFD findet sich natürlich einerseits
auf der Seite der Haufsicht, aber wie gewohnt packen wir den Link natürlich
auch in unsere Shownotes.
Und damit, liebe Laura, sind wir für heute durch.
Haben wir es geschafft.
Haben wir es geschafft. Für alle, die, wie gesagt, heute den Brückentag auch
arbeiten müssen, so wie wir.
Also wie gewohnt am Freitagnachmittag diese Folge und ein schönes Wochenende.
In diesem Sinne, bleibt uns gewogen und auf bald.
Bis bald.