Von der Cyberattacke zur DSGVO-Klage – Warum Datensicherheit und Datenschutz untrennbar sind
Die neue Realität: Cyber-Vorfälle werden zu Datenschutz-Klagen
Was haben die Berliner Verkehrsbetriebe, der britische Einzelhändler Marks & Spencer und der Personaldienstleister Adecco gemeinsam? Sie alle erlebten, wie aus IT-Security-Problemen massive rechtliche und finanzielle Belastungen wurden.
Die Zahlen sprechen eine klare Sprache:
- 182.295 Datensätze kompromittiert bei der BVG
- 145 Schadensersatzklagen bereits eingereicht
- 72.000 Personen betroffen beim Adecco-Vorfall
- Millionenschwere Umsatzausfälle bei Marks & Spencer
Drei Fälle, eine Lektion
Fall 1: BVG Berlin – Wenn der Dienstleister zum Problem wird
Die BVG wurde nicht direkt angegriffen, sondern ihr IT-Dienstleister Richard Scholz GmbH. Trotzdem ist die BVG nun mit Schadensersatzforderungen konfrontiert. Die Lehre: Auch Ihre Partner können Sie in DSGVO-Haftung bringen. Es gelten die Regeln der Auftragsverarbeitung
Kritische Verzögerung: Es verging ein Monat, bis Kunden informiert wurden – ein klarer Verstoß gegen die 72-Stunden-Meldepflicht der DSGVO.
Fall 2: Marks & Spencer UK – Der Dreifach-Schlag
Erst der Cyberangriff, dann Millionen-Umsatzausfälle durch nicht funktionierenden Onlineshop, schließlich Sammelklagen wegen Datenverlust. Ein klassisches Beispiel dafür, wie sich IT-Probleme zu existenzbedrohenden Geschäftsproblemen entwickeln können.
Fall 3: Adecco Frankreich – Wenn Insider zu Tätern werden
Ein 19-jähriger Praktikant verkaufte Zugangsdaten für 15.000 Euro. Die Folge: 2.400 Nebenkläger fordern Schadensersatz, der Schaden beläuft sich auf 1,6 Millionen Euro allein durch unrechtmäßige Abbuchungen.
Die DSGVO als Schadensersatz-Hebel
Artikel 82 DSGVO macht es möglich: Betroffene können Schadensersatz fordern – auch bei rein immateriellen Schäden. Das bedeutet:
✗ Früher: „Ist ja nichts passiert, nur Daten geklaut“
✓ Heute: Bereits der Kontrollverlust über eigene Daten ist schadensersatzpflichtig
Typische Schadensersatzforderungen:
- 500-1.500 Euro pro betroffenem Datensatz
- Mehrere tausend Euro bei sensiblen Daten (Gesundheits-, Finanzdaten)
- Zusätzlich: Anwaltskosten der Kläger
5 Sofortmaßnahmen für den integrierten Schutz
1. Incident Response Plan erstellen
- Klare Meldewege bei Sicherheitsvorfällen
- 72-Stunden-Regel der DSGVO fest verankern
- Kommunikationsvorlage für Betroffene
2. Dienstleister-Management verschärfen
- Auftragsverarbeitungsverträge aktualisieren
- Security-Standards für alle Partner definieren
- Regelmäßige Überprüfung der Partnersicherheit
3. Mitarbeiter-Sensibilisierung intensivieren
- Phishing-Simulationen durchführen (eine Checkliste für Phishing-Simulationen finden Sie in der Security Awareness Toolbox)
- Regelmäßige Security-Schulungen für Datensicherheit UND Datenschutz (Die Security Awareness Toolbox enthält umfangreiches Schulungsmaterial – Video-Tutorials, Schulungsskripte, Schulungstests, etc.)
- Klare Meldepflicht für verdächtige Aktivitäten
4. Rechtliche Vorbereitung
- Cyber-Versicherung mit DSGVO-Schutz
- Rechtsberatung für Incident Response
- Musterverträge für Schadensersatzfälle
5. Dokumentation verbessern
- Alle Sicherheitsmaßnahmen dokumentieren
- Schulungsnachweise führen (In der Security Awareness Toolbox finden Sie eine entsprechende Excel-Vorlage – mit Benachrichtigungsfunktion für Auffrischungsschulungen)
- Incident-Protokolle erstellen
Security Awareness Toolbox: Mehr Bewusstsein für Datensicherheit UND Datenschutz
Wie die drei eingangs skizzierten Praxisbeispiele zeigen, spielen Datenschutz UND Datensicherheit eine zentrale Rolle, wenn es darum geht, insbesondere die finanziellen Folgen eines Cyberangriffs auf ein Minimum zu reduzieren. Aus genau diesem Grund haben wir in die Security Awareness Toolbox nicht nur Informationen zur Datensicherheit aufgenommen, sondern beschäftigen uns auch mit dem Thema Datenschutz. Sie finden in der Security Awareness Toolbox unter anderem Schulungsunterlagen und Newsletter-Vorlagen zu Themen wie:
- Grundlagen der DSGVO
- Personenbezogene Daten nach DSGVO
- Auftragsverarbeitung nach DSGVO
- Datenschutz und (Online-) Marketing
- Datenschutz und Personalwesen
- Datenschutz in Vertrieb und Kundendienst
Darüber hinaus weisen wir auch in allen anderen Unterlagen darauf hin, wenn datenschutzrechtliche Aspekte eine Rolle spielen (z.B. beim Verhalten bei einer Datenpanne, Stichwort: 72-Stunden-Regel)
Denn eines ist klar: Auch wenn es für den Datenschutz klar definierte Verantwortlichkeiten wie den (externen) Datenschutzbeauftragten gibt, ist es am Ende doch wieder der „Faktor Mensch“, der dafür verantwortlich ist, dass Datenschutz UND Datensicherheit im Unternehmen eingehalten werden.
Security Awareness Toolbox: In eigener Sache
An dieser Stelle der Hinweis, dass alle Inhalte der Security Awareness Toolbox auf den aktuellen Stand (Juli 2025) gebracht wurden und ab sofort im Download-Bereich zur Verfügung stehen.
Aktuelle Bedrohungslage: Juli 2025
Neue Phishing-Trends:
- KI-generierte Phishing-Mails werden immer schwerer erkennbar
- Urlaubszeit-Phishing nutzt Abwesenheiten aus
- Fake-Rechnungen mit perfekt gefälschten Lieferantendaten
BSI-Warnung: Während der Sommerpause steigen Angriffe auf KMUs um bis zu 35%, da Sicherheitskontrollen oft vernachlässigt werden.
Aktuelle Beispiele für Phishing-E-Mails finden Sie in der Security Awareness Toolbox.