Auswirkungen auf die tägliche Praxis?
B2B-Newsletter > 2019 - Archiv > NL 10/19
DSGVO- und Sicherheitstipp:
Ausweis-Kopien nie unverändert speichern / versenden!
Watchlist Internet warnt vor Identitätsdiebstahl mit Ausweiskopien. Speichern Sie DSGVO-konform?
Seit einigen Wochen kann man in den Medien verstärkt Beiträge zum Thema Ausweiskopien und deren missbräuchliche Verwendung verfolgen.
Das nahm „Watchlist Internet“, eine der führenden Informationsplattformen zum Thema Internet-Betrug und Online-Fallen zum Anlass, vor möglichem Betrug mit eingescannten Ausweiskopien zu warnen, um Problembewusstsein zu schaffen. Die Watchlist Internet ist ein Projekt des Internet Ombudsmann, das in enger Zusammenarbeit mit dem Bundeskriminalamt erfolgt und u.a. vom Bundesministeriums für Arbeit, Soziales, Gesundheit und Konsumentenschutz (BMASGK) und der Bundesarbeitskammer (BAK) ermöglicht wird.
Denn immer häufiger nutzen Kriminelle gestohlene Ausweiskopien, um durch diesen Identitätsdiebstahl Straftaten in fremden Namen zu begehen.
Unser heutiger Praxistipp hat 2 Zielrichtungen. Einerseits sollten wir selbst vorsichtiger werden bzw. sollten wir unsere Kunden auf diese Gefahr aufmerksam machen. Denn fast alle von uns haben wohl schon mehrmals gedankenlos unseren Ausweis eingescannt und per Mail versendet, um etwa damit ein Konto oder Sparbuch neu zu eröffnen, einen Leihwagen oder Wohnung zu mieten oder etwa einen Handy-Vertrag abzuschließen, etc.
Unser heutiger Praxistipp hat 2 Zielrichtungen. Einerseits sollten wir selbst vorsichtiger werden bzw. sollten wir unsere Kunden auf diese Gefahr aufmerksam machen. Denn fast alle von uns haben wohl schon mehrmals gedankenlos unseren Ausweis eingescannt und per Mail versendet, um etwa damit ein Konto oder Sparbuch neu zu eröffnen, einen Leihwagen oder Wohnung zu mieten oder etwa einen Handy-Vertrag abzuschließen, etc.
Kaum jemand von uns hat sich dabei Gedanken gemacht, was ein Betrüger mit dieser Kopie und den dort darauf befindlichen Daten (Name, Geburtsdatum) alles anstellen kann. Etwa mit unserem Namen ein Konto einrichten und dann für Geldwäsche zu nutzen. Auf unseren Namen im Internet einkaufen, Kredite aufnehmen, usw. Die Betroffenen erfahren davon meist erst Monate später und müssen dann in mühsamen Gerichtsverfahren nachweisen, dass sie die in ihrem Namen getätigten Geschäfte nicht selbst abgewickelt haben und dafür nicht verantwortlich sind.
Andererseits soll dieser Praxistipp Sie als Unternehmen, das solche Ausweiskopien von Kunden sammelt (und für die Identitätsfeststellung nach dem Finanzmarkt Geldwäsche-Gesetz (kurz FmGwG) sammeln muss, „aufwecken“ und das Gefahrenpotential erkennen lassen. Denn hierbei handelt es sich um personenbezogene Daten, deren Sicherheit Sie aufgrund der DSGVO sicherstellen müssen. Wird Ihr PC gehackt und es werden auch solche Daten gestohlen, dann ist das Missbrauchs-Potential um ein Vielfaches höher, als wenn „nur“ die Infos über einen abgeschlossenen Versicherungsvertrag für das KFZ des Kunden gestohlen würden.
Was soll man also tun, um die Gefahr zu verkleinern, wenn man seine Ausweiskopie oder sonstigen Identitätsnachweis versenden will/ muss?
Dazu rät Watchlist Internet:
a) Kritisch hinterfragen, ob der Geschäftspartner zu Recht einen Ausweis verlangt
b) Ausweis „verändern“, um Risiko zu minimieren
Ad a) Kritisch hinterfragen:
JA, einer seriösen Bank, Versicherung, etc. wird man wohl auch künftig eine Ausweiskopie zusenden bzw. für die Online-Identifikation verwenden können. Doch nicht immer geht es seriös zu, wie etwa bei den folgenden Betrugsmaschen, die Watchlist Internet als Muster nannte:
Die zuletzt durch alle Medien gelaufenen Fälle betrafen etwa die Websites gremski.org, prophylactus.com und knurf.net: Diese Seiten gaben an, Marktforschungsinstitute zu sein, bei denen Konsument/innen bis zu 100 Euro pro abgeschlossener Umfrage verdienen könnten. Bei der Anmeldung mussten Interessent/innen auch ihre Ausweisdokumente wie Personalausweis oder Pass hochladen.
Merke: Schon in dieser Phase sollten die Alarmglocken läuten, denn wozu braucht ein Markforschungsinstitut meinen Pass?
Merke: Schon in dieser Phase sollten die Alarmglocken läuten, denn wozu braucht ein Markforschungsinstitut meinen Pass?
Doch die Betrugsmasche ging gefinkelt weiter:
Im Rahmen der ersten vermeintlichen Umfrage sollte man ein Konto bei einer Online-Bank eröffnen und ein Video-Identifizierungs-Verfahren durchlaufen (um dieses Verfahren der Bank im Zuge der Umfrage zu testen). Dabei stahlen die Verbrecher die Bank-Daten der Teilnehmer/innen. Dann nutzten die Kriminellen diese eröffneten Bankkonten, um Verbrechen und Geldwäsche unter dem Namen ihrer Opfer zu begehen.
Zwar sind die genannten Websites mittlerweile nicht mehr aktiv, aber Watchlist Internet geht davon aus, dass bald neue Varianten dieser Masche (egal ob Meinungsumfrage, Gewinnspiele, Wohnungssuche, Stellenausschreibungen, Einkauf auf Kleinanzeigenplattformen, gefälschten PayPal-Nachrichten, usw.) Die Betrugsmethoden seien sehr vielfältig, sehr professionell und für Normalbürger kaum zu durchschaubar und würden immer dreister. Also immer nachdenken und besonders skeptisch werden, wenn jemand einen Ausweis von Ihnen haben möchte.
Im Rahmen der ersten vermeintlichen Umfrage sollte man ein Konto bei einer Online-Bank eröffnen und ein Video-Identifizierungs-Verfahren durchlaufen (um dieses Verfahren der Bank im Zuge der Umfrage zu testen). Dabei stahlen die Verbrecher die Bank-Daten der Teilnehmer/innen. Dann nutzten die Kriminellen diese eröffneten Bankkonten, um Verbrechen und Geldwäsche unter dem Namen ihrer Opfer zu begehen.
Zwar sind die genannten Websites mittlerweile nicht mehr aktiv, aber Watchlist Internet geht davon aus, dass bald neue Varianten dieser Masche (egal ob Meinungsumfrage, Gewinnspiele, Wohnungssuche, Stellenausschreibungen, Einkauf auf Kleinanzeigenplattformen, gefälschten PayPal-Nachrichten, usw.) Die Betrugsmethoden seien sehr vielfältig, sehr professionell und für Normalbürger kaum zu durchschaubar und würden immer dreister. Also immer nachdenken und besonders skeptisch werden, wenn jemand einen Ausweis von Ihnen haben möchte.
Ad b) Ausweis „verändern“, um Risiko zu minimieren
Um auf der sicheren Seite zu sein, aber dennoch nicht auf das Leihauto oder das neue Bank-Konto verzichten zu müssen, empfehlen die Expert/innen der Watchlist Internet, folgendes zu beachten: Schauen Sie sich auch das folgende Foto-Beispiel näher an:
- Als Kopie kennzeichnen
Muss zur Identitätsbestätigung eine Ausweiskopie, ein Gehaltszettel oder ein anderes persönliches Dokument übermittelt werden, sollte auf dem betreffenden Dokument das Wort „Kopie“ quer und gut leserlich dazu geschrieben werden. Das können User/innen händisch (danach muss die Kopie eingescannt oder abfotografiert werden) oder mit Hilfe eines Bildbearbeitungsprogramms machen. Damit wird gezeigt, dass es sich nicht um das Original handelt. - Nutzungszweck angeben
Um auf der sicheren Seite zu sein, empfiehlt sich, neben der Ergänzung „Kopie“ auch den Einsatzzweck und das Datum zu vermerken (z. B. „Ausweiskopie ausschließlich für die Registrierung bei Musterbank, 12.02.2019“.). Damit kann die Ausweiskopie nur für diesen einen spezifischen Zweck – und für sonst kein anderes Geschäft – verwendet werden. - Informationen schwärzen
Informationen auf der Ausweiskopie, die nicht für den gewünschten Zweck gebraucht werden, sollten geschwärzt und unleserlich gemacht werden. Häufig nicht benötigt werden z. B. die Ausweisnummer oder die Unterschrift.
Dies ist ein Praxis-Tipp aus unserem BAV-Newsletter. Wenn Sie auch dieser Newsletter interessiert, senden Sie uns doch ein "JA zu Info"-mail an g.wagner@b2b-projekte.at und wir senden Ihnen ein PDF dieses Beitrags zu und der nächste Newsletter landet dann pünktlich in Ihrer Mailbox.
Weiterführende Beispiele zum Thema Identitätsdiebstahl finden Sie unter www.watchlist-internet.at
Quellen: Watchlist Internet Webseite, ORF heute konkret