Zur Zeit wird gefiltert nach: Datenschutz
Filter zurücksetzen

BGH äußert sich zur Zulässigkeit von Kundenzufriedenheitsumfragen – und verschärft die Rechtsunsicherheit

geschrieben von Sebastian Schulz am 19.09.2018

Nach zahlreichen Entscheidungen der Instanzgerichte hat sich mit Urteil vom 10. Juli 2018 nun auch der Bundesgerichtshof zur Frage der Zulässigkeit von Feedbackumfragen geäußert. Konkret ging es um die Frage, ob eine Feedbackumfrage, die gemeinsam mit einer Rechnung per E-Mail versandt wurde, auch dann mit deutschem Wettbewerbsrecht vereinbar ist, wenn zuvor keine Einwilligung des Adressaten in die Zusendung solcher Umfragen eingeholt wurde. Hier der Wortlaut des streitgegenständlichen Teils des Mailings:

"Sehr geehrte Damen und Herren, anbei erhalten Sie Ihre Rechnung im PDF-Format. Vielen Dank, dass Sie den Artikel bei uns gekauft haben. Wir sind ein junges Unternehmen und deshalb auf gute Bewertungen angewiesen. Deshalb bitten wir Sie darum, wenn Sie mit unserem Service zufrieden waren, uns für Ihren Einkauf eine 5-Sterne Beurteilung zu geben. 
Sollte es an dem gelieferten Artikel oder unserem Service etwas auszusetzen geben, würden wir Sie herzlich darum bitten, uns zu kontaktieren. Dann können wir uns des Problems annehmen. Zur Bewertung: über folgenden Link einfach einloggen und eine positive 5-Sterne Beurteilung abgeben (…)".

Bereits kurz nach Veröffentlichung der Urteilsbegründung vor wenigen Tagen konnte man zahlreichen Blogs, Foren und Newslettern praktisch ausschließlich zwei – freilich völlig unterschiedliche – Bewertungen des Urteils entnehmen. Nach der Lesart der Einen sind Kundenzufriedenheitsumfragen außerhalb des Vorliegens einer Einwilligung auch nach der Diktion des BGH (weiterhin) unzulässig; das Urteil würde die ohnehin begrenzten Möglichkeiten weiter reduzieren. Nach der Lesart der Anderen seien Zufriedenheitsumfragen bei vorherigem Hinweis auf ein entsprechendes Widerspruchsrecht fortan möglich. Ich meine, dass auch hier die Wahrheit irgendwo dazwischen liegen wird. Das Urteil als Freibrief des BGH für Feedbackumfragen ohne Einwilligung zu verstehen, halte ich für höchst problematisch. Schauen wir uns das Urteil also Stück für Stück an.

Feedbackumfragen sind Werbung

Eindeutig verhält sich der BGH zunächst zu der Frage, ob Feedbackumfragen als Werbung im rechtlichen Sinne zu werten sind. Unter Verweis auf den weiten rechtlichen Werbebegriff, der sowohl unmittelbar als auch nur mittelbar absatzfördernde Maßnahmen erfasst, seien auch Kundenzufriedenheitsumfragen als Werbung zu klassifizieren. Diese dienten dazu, „so befragte Kunden an sich zu binden und künftige Geschäftsabschlüsse zu fördern“. Ob man persönlich diese Wertung teilt, tut an dieser Stelle nichts zur Sache.

Feedbackumfragen in Transaktionsmailings sind Werbung

Weiter stellt der BGH klar, dass auch Feedbackumfragen, die gemeinsam mit üblicher (Anm.: „erforderlicher“) Kundenkommunikation versendet werden, als Werbung einzustufen sind. Eine wie im vorliegenden Fall „nicht zu beanstandende Rechnungsübersendung“ führe nicht dazu, dass dadurch der werbliche Charakter des Mailings insgesamt entfalle. Auch diese Rechtsauffassung mag man mit guten Argumenten widerlegen. Der Praxis hilft eine solche akademische Auseinandersetzung allerdings wenig.

Grundsatz: Werbung per E-Mail bedarf der Einwilligung

Dass die werbliche Ansprache per E-Mail grundsätzlich auf Grundlage einer zuvor eingeholten ausdrücklichen Einwilligung zulässig ist, ist mittlerweile weithin bekannt und wird durch den BGH unter Verweis auf § 7 Abs. 2 Nr. 3 Gesetz gegen den unlauteren Wettbewerb (UWG) erneut klargestellt. (Anm.: Das gleiche gilt im Endkundengeschäft auch für Outboundtelefonie. Printmarketing unterliegt dagegen wettbewerbsrechtlich keiner praxisrelevanten Beschränkung und kann bei Einhaltung datenschutzrechtlicher Transparenzvorgaben auch ohne Einwilligung rechtskonform ausgestaltet werden. Aber Feedbackumfragen per Print?)

Ausnahme: Bestandskundenwerbung per E-Mail

Vom Grundsatz der Einwilligung macht das UWG in § 7 Absatz 3 eine Ausnahme: An Bestandskunden darf E-Mail-Werbung auch dann versendet werden, wenn diese zuvor nicht ausdrücklich in die Zusendung eingewilligt haben. Damit dieses „Bestandskundenprivileg“ greift, müssen gemäß § 7 Abs. 3 UWG neben der Eigenschaft als Bestandskunde (Anm.: also kein Widerruf oder Rücktritt und nicht bereits bei Interessenten oder der Anlage eines Kundenkontos!) drei weitere Voraussetzungen nebeneinander vorliegen: (1) Die E-Mail darf allein der Werbung für eigene, ähnliche Produkte dienen, der Adressat muss (2) auf sein Recht auf Widerspruch hingewiesen worden sein und darf (3) tatsächlich auch nicht widersprochen haben.

Feedbackumfragen als zulässige, einwilligungsfreie Bestandskundenwerbung?

Wenn Feedbackumfragen als Werbung zu klassifizieren sind und Werbung per E-Mail ausnahmsweise auch außerhalb des Vorliegens einer Einwilligung zulässig sein kann, stellt sich zwangsläufig die Frage, ob damit (automatisch) auch Feedbackumfragen auf Grundlage des Bestandskundenprivilegs des § 7 Abs. 3 UWG, d.h. ohne vorherige ausdrückliche Einwilligung, ausgespielt werden dürfen. Auch der BGH wendet sich dieser Frage zu.

Bereits in den Leitsätzen der Entscheidung, später auch in der Begründung des Urteils, zeigt sich der BGH offen für eine Fruchtbarmachung des Bestandskundenprivilegs des § 7 Abs. 3 UWG für Feedbackumfragen:

Leitsatz a: „Die Verwendung von elektronischer Post für die Zwecke der Werbung ohne Einwilligung des Empfängers stellt grundsätzlich einen Eingriff in seine geschützte Privatsphäre und damit in sein allgemeines Persönlichkeitsrecht dar.“ (Anm.: Ausnahmen vom Einwilligungserfordernis sind also denkbar, Hervorhebung durch mich.)

Leitsatz c: „Dem Verwender einer E-Mail-Adresse zu Werbezwecken nach Abschluss einer Verkaufstransaktion ist es zumutbar, bevor er auf diese Art mit Werbung in die Privatsphäre des Empfängers eindringt, diesem - wie es die Vorschrift des § 7 Abs. 3 UWG verlangt- die Möglichkeit zu geben, der Verwendung seiner E-Mail-Adresse zum Zwecke der Werbung zu widersprechen. Ansonsten ist der Eingriff grundsätzlich rechtswidrig.“ (Hervorhebung durch mich)

In Randnummer 24 der Urteilsbegründung wird diese gegenüber § 7 Abs. 3 UWG aufgeschlossene Haltung erneut bestätigt. Wie selbstverständlich geht der BGH also davon aus, dass Feedbackumfragen per E-Mail auch außerhalb des Vorliegens einer Einwilligung zulässig sein können. Und das ist auch richtig so. (Anm.: In 2017 hatte das KG Berlin erstmals in diese Richtung gedacht).

Potentiell missverständliche Aussage des BGH

Dass die beklagte Versenderin der Feedbackumfrage am Ende doch nicht in den Genuss des § 7 Abs. 3 UWG gekommen ist, lag letztlich am Fehlen der Voraussetzungen des § 7 Abs. 3 UWG. Die durch den BGH angeführte Begründung ist an dieser Stelle m.E. jedoch mindestens unglücklich, ich meine sogar potentiell missverständlich. Sowohl in dem oben zitierten Leitsatz c als auch in der Urteilsbegründung verweist der BGH lediglich darauf, dass die Beklagte dem Adressaten zuvor nicht die Möglichkeit zum Widerspruch eingeräumt habe. Der unbedarfte Leser muss dem zwangsläufig entnehmen, dass im Falle eines Hinweises auf das Widerspruchsrecht die Feedbackumfrage über § 7 Abs. 3 UWG legitim gewesen wäre. Auch wenn ich dieses Ergebnis persönlich gut fände, wird diese Schlussfolgerung wohl falsch sein. Wie oben dargestellt, müssen die Voraussetzungen des § 7 Abs. 3 UWG sämtlichst vorliegen. Ob aber die hier streitgegenständliche Feedbackumfrage tatsächlich als Werbung für „eigene, ähnliche Produkte“ eingestuft werden kann, ist m.E. zumindest zweifelhaft. 

Wenn wir uns den Text der E-Mail noch einmal anschauen, wird deutlich, dass es sich bei der Feedbackumfrage nicht um eine produktbezogene („Wie finden Sie Ihren neuen Rührstab?“), sondern um eine abstrakte Reputations- bzw. Imagenachfrage handelt. M.E. kann aber bei ernsthafter Anwendung des Gesetz nur eine produktbezogene Feedbackumfrage von der Privilegierung des § 7 Abs. 3 UWG erfasst sein. Nur eine sich auf das konkrete Produkt bezogene Nachfrage ist als „Minus“ in der durch das Gesetz gestatteten Werbung für „ähnliche“ Produkte enthalten. Eine global gehaltene Nachfrage („Wie findest Du unseren Service?“) genügt diesen Anforderungen nicht und ist mit dem Wortlaut von § 7 Abs. 3 UWG nicht vereinbar. Von einem Freibrief des BGH kann hiernach also keine Rede sein.

Fazit für die Praxis

Das Urteil ist gut und schlecht zugleich. Positiv ist zweifellos, dass der BGH Feedbackumfragen grundsätzlich auch dann für zulässig erklärt, wenn diese auf Grundlage des Bestandskundenprivilegs des § 7 Abs. 3 UWG versendet werden. Schlecht ist die an dieser Stelle ungewohnt unsaubere, potentiell irreführende Wortwahl des Senats. Bei konservativer Betrachtung ist anzuraten, das Bestandskundenprivileg des § 7 Abs. 3 UWG nur für produktbezogene Feedbackumfragen heranzuziehen und für die darüber hinausgehende werbliche Kundenkommunikation per E-Mail (weiterhin) zuvor ein nachweisbares Opt-In einzuholen. Und freilich: Bitte nicht die Datenschutzhinweise vergessen.

Übrigens: Wenn in einschlägigen Blogs darüber fabuliert wird, dass nunmehr in Zukunft zwei Mailings versendet werden müssen – eines mit dem Hinweis auf das Widerspruchsrecht und erst in Schritt 2 die Feedbackumfrage – ist davon dringend abzuraten. Das UWG verlangt in § 7 Abs. 3 Nr. 4) den Hinweis auf das Widerspruchsrecht „bei Erhebung der E-Mail-Adresse“. Ein „Nachholen“ ist durch das Gesetz nicht vorgesehen.

Add-On

Ausgehend von dem hier besprochenen Fall zum Schluss noch ein Verweis auf eine hiermit verwandte Fragestellung: Darf man in einem auf Grundlage des Bestandskundenprivilegs des § 7 Abs. 3 UWG versandten Mailings ein Opt-In in die künftige Zusendung von Werbung auch außerhalb der Grenzen von § 7 Abs. 3 UWG einholen? (Anmerkung.: Das Fragen nach einem Opt-In ist nach praktisch allgemeiner Einschätzung bereist selbst als Werbung zu klassifizieren.)  

Verbändeschreiben zur ePrivacy-Verordnung (ePV)

Am 8. Juni 2018 sollen im Rat „Verkehr, Telekommunikation und Energie“ Festlegungen hinsichtlich der Positionierung der Mitgliedsstaaten zum aktuellen Entwurf einer neuen ePrivacy-Verordnung (ePV) getroffen werden. Anschließend an den offenen Brief, den ein breites Bündnis von Verbänden nahezu textgleich an die Minister des Europäischen Rates für Telekommunikation gerichtet hat (abrufbar unter: bit.ly/2L9FMzS), möchten wir unsere Unterstützung für die dort geäußerten Positionen zum Ausdruck bringen. Die unterzeichnenden Organisationen bitten Sie dringend, sich für eine ausbalancierte, wettbewerbs- und innovationsgerechte, zur Datenschutzgrundverordnung (DSGVO) kohärente und praxistaugliche Regulierung einzusetzen und, da die aktuellen Vorschläge dies nicht gewährleisten, dezidierte Beratungen hierüber einzufordern.

Der aktuelle Vorschlag kombiniert den wichtigen Schutz der Vertraulichkeit in der elektronischen Kommunikation mit datenschutzrechtlichen Regelungen im Bereich der Dienste der Kommunikationsgesellschaft. Anstatt die Regelungen der DSGVO sinnstiftend zu ergänzen, werden die gerade erst etablierten grundlegenden Wertungen und Abwägungserfordernisse des EU-Datenschutzrahmens aufgegeben und entwertet.

So wird die Verarbeitung elektronischer personen- wie nicht-personenbezogener Kommunikations- und Endgerätedaten strengeren Bedingungen unterstellt, als die Verarbeitung personenbezogener Daten nach der DSGVO. Die Erfüllung dieser Bedingungen ist dabei in der klaren Mehrzahl der Fälle praktisch nicht möglich.

Bereits die DSGVO stellt die Unternehmen aktuell vor erhebliche, oftmals noch nicht vollständig absehbare Herausforderungen – auch wegen der unklaren und teilweise überaus restriktiv ausfallenden Ankündigungen der Aufsichtsbehörden. Die aktuellen Diskussionen und Hilferufe aus dem Markt belegen dies eindrücklich. Eine zusätzliche, mit dem EU-Datenschutzrecht inkompatible und den tatsächlichen Marktverhältnissen nicht ausreichend Rechnung tragende Regulierung würde weitergehende Folgen nach sich ziehen. Sie würde die Schaffung eines funktionierenden digitalen Binnenmarktes regelrecht konterkarieren.

Betroffen sind hier alle Sektoren der digitalen Wirtschaft der EU, von digitalen Medien und Services bis hin zu vernetzten Fahrzeugen und intelligenter Fertigung – die im schlimmsten Fall so nicht mehr in der Lage sein werden, ihre Produkte und Dienstleistungen unter Verwendung von Daten anzubieten und zu innovieren. Dies wird auch Auswirkungen auf andere Wirtschaftszweige haben, die sich mit zunehmender Digitalisierung der Wirtschaft immer mehr auf die Nutzung von Daten aus Endgeräten einstellen müssen. Die Einwilligungsfokussierung im Digitalen, gepaart mit technischen Vorgaben zur Zugriffskontrolle verstärkt die Anreize zur Etablierung reiner Plattform- bzw. Lock-In-Angebote.

Sehr geehrter Herr Bundesminister, die von der bulgarischen Ratspräsidentschaft gestellten Fragen, ob auf der Grundlage des aktuellen Entwurfs in Verhandlungen eingetreten werden könne, sind aus der Sicht der von uns vertretenen Unternehmen mit einem klaren Nein zu beantworten. Angesichts der geschilderten Inkohärenzen sowie in Erkenntnis der bereits nachgewiesenen und darüber hinaus zu befürchtenden, schädlichen Auswirkungen auf nahezu alle Bereiche der Wirtschaft wird wesentlich mehr Zeit benötigt, um den Anwendungsbereich der ePV klarer zu bestimmen und deren Folgen besser einschätzen zu können. Wir verbinden dies mit der Bitte, auf der Ratssitzung am 8. Juni deutlich zu signalisieren, dass die Diskussionen der Mitgliedstaaten über die ePV nicht zu voreiligen Festlegungen führen und die Trilogverhandlungen erst aufgenommen werden sollten, wenn ein solides, ausgewogenes und umfassendes Gesamtkonzept vorliegt. Wir laden Sie herzlich ein, sich jederzeit mit uns im Wege des konstruktiven Dialoges über die zu lösenden Grundsatzfragen auszutauschen, um zu einem für alle Seiten tragbaren Resultat zu gelangen.

Die nachfolgenden Organisationen sind Unterzeichner dieses Briefes: 

BDEW - Bundesverband der Energie- und Wasserwirtschaft e.V. 
https://www.bdew.de

BDI - Bundesverband der Deutschen Industrie e.V.
https://bdi.eu

Bundesverband Deutsche Startups e.V.
https://www.deutschestartups.org

BDZV - Bundesverband Deutscher Zeitungsverleger e.V.
https://www.bdzv.de

BEVH- Bundesverband E-Commerce und Versandhandel Deutschland e.V.
https://www.bevh.org

BITKOM- Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.
https://www.bitkom.org

BVDW – Bundesverband Digitale Wirtschaft e.V.
https://www.bvdw.org

ECO – Verband der Internetwirtschaft e.V.
https://www.eco.de

GDV – Gesamtverband der Deutschen Versicherungswirtschaft e.V.
https://www.gdv.de

HDE - Handelsverband Deutschland e.V.
https://www.einzelhandel.de

OWM - Organisation Werbungtreibende im Markenverband e.V.
https://www.owm.de

VAUNET - Verband Privater Medien e.V.
https://www.vau.net

VDZ - Verband Deutscher Zeitschriftenverleger e.V.
https://www.vdz.de

ZAW - Zentralverband der deutschen Werbewirtschaft e.V.
http://www.zaw.de

Wann ist ein Interesse „berechtigt“ im Sinne des Datenschutzrechts?

fragt sich Sebastian Schulz, 20. Februar 2017

Das Verbotsprinzip ist das Fundamentalprinzip des deutschen wie auch des europäischen Datenschutzrechts. Beim Umgang mit personenbezogenen Daten ist zunächst erst einmal alles verboten, es sei denn, der Datenverarbeiter kann sich auf eine Einwilligung der betroffenen Person oder auf einen gesetzlichen Erlaubnistatbestand stützen. Hinsichtlich der zweitgenannten Gruppe führt die ab Mai 2018 gültige EU-Datenschutzgrundverordnung (DS-GVO) das bislang geltende Recht im Wesentlichen fort. Neben der Zulässigkeit der Datenverarbeitung zu Vertragszwecken wird für privatrechtliche Datenverarbeiter auch weiterhin eine Verarbeitung auf Grundlage der sog. allgemeinen Interessenabwägungsklausel der Normalfall sein. Artikel 6 Absatz 1 Buchstabe f DS-GVO als die hier einschlägige Norm führt hierzu aus, dass eine Datenverarbeitung rechtmäßig ist, wenn folgende Bedingung erfüllt ist:

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.


Am Rande einer Diskussionsrunde zur DS-GVO in der vergangenen Woche erbat ein Teilnehmer von einem Vertreter einer Datenschutzaufsichtsbehörde einen Hinweis, in welchen Fällen man denn nach Wertung der Aufsichtsbehörden vom Vorliegen berechtigter Interessen ausgehen könne. Diese Frage scheint mir in dreifacher Hinsicht falsch gestellt. Erstens handelt es sich bei der Frage, ob ein berechtigtes Interesse
 vorliegt, nicht um eine Wertungsfrage. Zweitens wird über eine so gestellte Frage suggeriert, die Entscheidung, einem Grundrechtsträger, hier dem Datenverarbeiter, die Berechtigung seiner Interessen zuzugestehen, obliege hierzulande einer Behörde. Mein Grundrechtsverständnis ist da ein Anderes (und ich kenne Art. 83 GG). Und drittens ist die Frage nach der Berechtigung der Interessen des Datenverarbeiters typischerweise gar nicht die entscheidende.

Wie aber hat eine Prüfung der allgemeinen Interessenabwägungsklausel zu erfolgen?

Im Rahmen der Prüfung, ob eine Datenverarbeitung auf Grundlage der allgemeinen Abwägungsklausel für zulässig erachtet werden kann, ist zunächst das Interesse des Verantwortlichen auf Grundlage der Zweckbestimmung zu bestimmen. Den Zweck der Verarbeitung kann und muss jeder Datenverarbeiter autonom festlegen (möglichst schriftlich), und zwar bevor überhaupt ein einziges Datum verarbeitet wurde. Daher auch der Begriff Zweckveranlasser. Aus dem Zweck folgt dann das Interesse. In Betracht kommen bspw. rechtliche, wirtschaftliche oder ideelle Interessen. Ist das Interesse ermittelt, ist sodann normativ zu bestimmen, ob dieses Interesse gegen die Rechtsordnung der EU, des jeweiligen Mitgliedstaates oder gegen datenschutzrechtliche Grundsätze (Art. 5) einschließlich des Gebots von Treu und Glauben verstößt. Ist dies nicht der Fall und steht insbesondere kein weniger eingriffsintensives Mittel zur Verwirklichung des Interesses des Verantwortlichen zur Verfügung (z.B. eine Verarbeitung anonymisierter Daten) wird das Interesse des Verantwortlichen regelmäßig auch berechtigt im Sinne von Artikel 6 Absatz 1 Buchstabe f DS-GVO sein. Diese verobjektivierte Betrachtung hat gerade angesichts der zahlreichen unterschiedlichen Rechtskulturen Europas offensichtliche Vorzüge gegenüber einer wertenden, stark subjektiv geprägten und damit regelmäßig intendierten Bestimmung der „Berechtigung“ und trägt zugleich dem grundrechtlichen Gebot einer möglichst niedrigschwelligen Bestimmung der „berechtigten“ Interessen Rechnung. Und: Ein grundsätzlich weites Verständnis eines berechtigten Interesses unterminiert auch nicht die Rechte der betroffenen Person, da die eigentliche Rechtmäßigkeitsprüfung erst auf Ebene der Abwägung stattfindet.

Den berechtigten Interessen des Verantwortlichen dürfen nach dem Wortlaut von Artikel 6 Absatz 1 Buchstabe f DS-GVO keine überwiegenden Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person entgegenstehen. Ein bloßes Tangieren der Rechte der betroffenen Person macht die Datenverarbeitung nicht unzulässig. Bei gleichwertigen Interessen darf eine Verarbeitung stattfinden. Der Wortlaut der Norm verlangt, anders als im Falle des Verantwortlichen, nicht nach berechtigten Interessen, so dass zunächst grundsätzlich auch „illegitime“ Interessen, d.h. in der Sache verwerfliche oder zu missbilligende Interessen durch die betroffene Person in die Abwägung eingebracht werden können. Macht ein Unternehmer durch wiederkehrende Massenabmahnungen auf sich aufmerksam, kann dieser gleichwohl ein Interesse am Unterbleiben der Veröffentlichung seines Namens im Internet haben. Im Rahmen der Abwägung werden diese Interessen dem Informationsinteresse von Branchenkreisen allerdings nur dann überwiegen, wenn mit der Veröffentlichung eine Prangerwirkung einhergeht.

Die für beide Seiten bestimmten Interessen sind sodann zu gewichten. Die zum bislang geltenden Recht entwickelten Faktoren der Gewichtung behalten dabei auch in Ansehung der DS-GVO ihre Gültigkeit, wobei künftig dem Ausfluss europäischer Grundfreiheiten und -rechte besondere Bedeutung zukommt. Einzubeziehen sind u.a. alle relevanten Grundrechtsbezüge, die Eingriffsintensität, die Art der verarbeiteten Daten, die Art der Betroffenen, mögliche Aufgaben oder Pflichten, die Zwecke der Datenverarbeitung, Maßnahmen der Datensicherheit, usw. Hier braucht es Kreativität genauso wie ein besonnenes Judiz. Hat die betroffene Person Daten öffentlich gemacht, genießen diese Daten grundsätzlich einen geringeren Schutz. Orientiert an der Zweckbestimmung der (geplanten) Verarbeitung ist in die Abwägung jedoch der Umstand einzubeziehen ist, ob die betroffene Person diese Daten freiwillig veröffentlicht hat, sie hierzu infolge einer gesetzlichen Vorgabe verpflichtet war oder ob die Veröffentlichung durch eine öffentliche Stelle aufgrund gesetzlicher Anordnung erfolgte.

Je höher sich das in der Verarbeitung liegende Risiko für die Rechte und Grundfreiheiten der betroffenen Person darstellt, umso höher ist der Rechtfertigungszwang des Verantwortlichen. Ob ein Interesse berechtigt ist, ist am Ende somit zwar eine notwendige, für die Zulässigkeitsprüfung aber noch nicht hinreichende Frage.

Warnung vor DDoS-Erpressungen durch Stealth Ravens

Gastbeitrag von Katrin Gräfe, Link11 GmbH, Head of International Corporate Communications

Seit der vergangenen Woche erpressen DDoS-Angreifer unter dem Namen „Stealth Ravens“ Online-Shops und E-Commerce-Anbieter in Deutschland, warnen die DDoS-Schutzexperten von Link11. Zu den Opfern zählen bislang Unternehmen verschiedener Größe und mit unterschiedlichem Sortiment wie z. B. Unterhaltungselektronik, Haushaltsgeräte, Produkte für Bad und Sanitär. Mit jedem Tag erhalten mehr Online-Händler Erpresser-E-Mails. Dabei setzen die Täter großvolumige DDoS-Attacken von bis zu 15 Gbps ein, um ihre Schutzgeldforderungen zu unterstreichen.

Die Erpresserschreiben sind in Englisch verfasst und kommen direkt auf den Punkt. Identische Passagen wechseln sich mit individuellen Informationen und Formulierungen je Erpressungsopfer ab. Die Texte sind aber nicht von DD4BC, Armada Collective oder anderen bekannten DDoS-Erpressern kopiert.

Hi!

If you dont pay 5 bitcoin until 1. february you will be hardly ddosed! Our attacks are super powerfull (Mirai botnet). And if you dont pay until 1. february ddos attack will start and price to stop will double! We are not kidding and we will do small demo now on just one of your servers xxx.xx.xxx.xxx to show we are serious. It will not be strong, we dont want damage now we hope you cooperate, just small flood to show we are not hoax. Pay and you are safe from us forever. Ignore, you go down longtime and price go up.

OUR BITCOIN ADDRESS: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Dont reply, we will ignore! Pay and we will be notify you payed and you are safe.
Cheers!


Im Unterschied zu vielen Trittbrettfahrern arbeiten Stealth Ravens offenbar mit einem effizienten DDoS-Angriffstool. Laut Erpresserschreiben nutzen die Täter ein Mirai-Botnetz, das im Oktober die weltweiten Ausfälle von Amazon, Twitter, Spotify und Paypal verursachte. Auch in Deutschland haben die ausgeführten Warnattacken bereits Performance und Verfügbarkeit vieler erpresster Shops beeinträchtigt. Nach Einschätzung des Link11 Security Operation Centers sind die Erpressungsversuche durch Stealth Raven daher unbedingt ernst zu nehmen.

Link11 empfiehlt den attackierten Unternehmen in keinem Fall auf die Erpressungen einzugehen. Stattdessen sollten sie schnell und entschlossen handeln:

- Bilden Sie ein Krisen-Team und stellen Sie einen Notfallplan auf!
- Kontaktieren Sie Ihren Internet-Provider.
- Informieren Sie sich über präventive Schutzlösungen gegen DDoS-Attacken! 

Mitgliedern des bevh gewährt Link11 als Preferred Business Partner des Verbandes Sonderkonditionen für seinen mehrfach ausgezeichneten Link11 DDoS-Schutz.

Weitere Informationen, Reports und Warnmeldungen zum Thema DDoS finden sich auf der von Link11 eingerichteten Webseite http://www.ddos-info.de

  • loading Twitter...
  • weiter

Veranstaltungen

18. October 2018 - 19. October 2018
AK Young Leadership

18. October 2018
eCommerce Future Day 2018

22. October 2018 - 23. October 2018
Strategiegipfel B2B E-Commerce & E-Business

Jahresbericht 2017


                                 

Wir bilden aus

Kooperierende Verbände

  • GEAGEA
  • BVDWBVDW
  • BVDVABVDVA
  • Bundesverband Druck und Medien e.V.Bundesverband Druck und Medien e.V.
  • Verband Internet Reisevertrieb e.V.Verband Internet Reisevertrieb e.V.
  • Media.net berlinbrandenburgMedia.net berlinbrandenburg
  • Hamburg@WorkHamburg@Work
  • AVE Außenhandelsvereinigung des Deutschen Einzelhandels e.V.AVE Außenhandelsvereinigung des Deutschen Einzelhandels e.V.
  • TeleTrusT – Bundesverband IT-Sicherheit e.V.TeleTrusT – Bundesverband IT-Sicherheit e.V.
  • Total Equality & DiversityTotal Equality & Diversity