06/2026:  Gehackt wurde ein anderer. In der Pflicht stehen Sie.

Liebe Security Awareness-Interessenten,

Sie haben vielleicht in der Presse vom Cyberangriff auf die Firma Unimed gelesen. Im April traf es den Abrechnungsdienstleister vieler Uni-Kliniken. Beim Cyberangriff wurden Daten von mehr als 120.000 Patientinnen und Patienten zahlreicher Universitätskliniken entwendet. Die Kliniken selbst blieben technisch unversehrt. Kein verschlüsselter Server, kein lahmgelegtes System. Am stärksten betroffen: Das Uniklinikum hier in Freiburg. Auch wir haben hier im Team Mitarbeiter, die bereits Rechnungen von Unimed erhalten haben. Noch hat keiner erfahren, ob er unter den Opfern des Datendiebstahls ist

Was den Fall so prekär für die betroffenen Kliniken macht: Gegenüber den betroffenen Patienten stehen die Kliniken in der Pflicht – nicht der Dienstleister. Denn wer personenbezogene Daten zur Verarbeitung weitergibt, bleibt nach der DSGVO der Verantwortliche. Genau das macht den Fall zur Blaupause für jedes Unternehmen, das Daten an Externe gibt: an die Lohnabrechnung (z.B. DATEV), das Rechenzentrum, die Cloud-Plattform, den IT-Dienstleister.

Die unbequeme Erkenntnis: Ihr Schutzniveau ist am Ende nur so stark wie das schwächste Glied in Ihrer Kette aus Partnern und Dienstleistern.

🔗 Den ganzen Fall lesen

Ich denke, vor dem Hintergrund des Unimed-Falls macht es Sinn, sich in dieser Ausgabe der Security Awareness Insights intensiver mit dem Thema „Auftragsverarbeitung nach DSGVO“ zu beschäftigen.

Viel Spaß beim Lesen wünscht

Werner Grohmann

Drei Fälle, ein Muster

Unimed ist kein Einzelfall, sondern Teil eines Musters. Drei aktuelle Vorfälle zeigen, wie unterschiedlich das Risiko aus Kooperationen und Lieferketten aussieht – und wie real es ist:

• Unimed (April 2026): Über 120.000 Patientendatensätze beim Abrechnungsdienstleister entwendet. Die Kliniken bleiben als Verantwortliche meldepflichtig.
• Portraitbox (Mai 2026): Über einen kompromittierten Zugangsschlüssel verschafften sich Angreifer Zugang zur Cloud-Infrastruktur des Foto-Plattform-Dienstleisters und erbeuteten Daten von rund 2.000 Fotografen sowie deren Endkunden. Auch hier sind die nutzenden Studios selbst in der Pflicht.
• Carnival / AIDA (April 2026): Beim Mutterkonzern der Rostocker AIDA Cruises reichte das manipulierte Konto eines einzelnen Mitarbeiters, um Daten von rund sechs Millionen Reisenden zu kopieren. Ein getäuschter Mensch als Einfallstor – und ein Vorfall, der über Konzernstrukturen weite Kreise zieht.

Zwei AV-Fälle, ein Human-Factor-Fall. Die Lehre ist in allen drei dieselbe: Der „Risikofaktor Mensch“ endet nicht an Ihrer Unternehmensgrenze – er reicht bis zu den Beschäftigten Ihrer Partner.

Kurz erklärt: Auftragsverarbeitung nach DSGVO

Wer Daten an einen Dienstleister gibt, gibt nicht die Verantwortung ab. Die wichtigsten Punkte in vier Sätzen:

• Sie bleiben verantwortlich. Auch wenn ein Externer die Daten verarbeitet, sind Sie nach Art. 28 DSGVO der „Verantwortliche“ – mit allen Pflichten.
• Der AV-Vertrag ist Pflicht. Ohne unterschriebenen Auftragsverarbeitungsvertrag ist die Weitergabe formal unzulässig.
• Die Meldefrist gilt für Sie. Kommt es beim Dienstleister zu einer Panne, läuft Ihre 72-Stunden-Meldefrist (Art. 33 DSGVO) – und gegebenenfalls die Informationspflicht gegenüber den Betroffenen (Art. 34).
• Schadensersatz trifft Sie. Ansprüche nach Art. 82 DSGVO richten sich zuerst gegen den Verantwortlichen – also gegen Sie.

Kurztipp: Der AV-Vertrag ist Pflicht – aber kein Schutzschild

Viele Unternehmen unterschreiben den AV-Vertrag, heften ihn ab und haken das Thema ab. Das ist riskant: Der Vertrag erfüllt eine gesetzliche Pflicht, ersetzt aber keine Kontrolle. Drei Dinge, die Sie diese Woche tun können:

1. Liste anlegen. Welche externen Dienstleister verarbeiten in Ihrem Auftrag personenbezogene Daten? (IT-Betreuung, Cloud, Lohnabrechnung, Abrechnungs- oder Inkassodienstleister, Marketing- und Newsletter-Tools …)
2. Pro Dienstleister prüfen. Liegt ein unterschriebener AV-Vertrag vor? Sind die technischen und organisatorischen Maßnahmen konkret beschrieben – oder nur Textbausteine?
3. Den Ernstfall klären. Wissen Sie, wie und wie schnell Ihr Dienstleister Sie im Fall einer Datenpanne informiert? Ihre Meldefrist läuft auch dann, wenn der Fehler bei ihm passiert ist.

In eigener Sache: Neue Version der Security Awareness Toolbox

Wir haben die Security Awareness Toolbox überarbeitet – mit Anregungen aus der Praxis. Neu: eine klarere Struktur aus „Start & Grundlagen“ und 12 frei kombinierbaren Awareness-Modulen, ein bewusst geringer Aufwand (max. 30 Minuten pro Monat für Verantwortliche, max. 10 Minuten je Kampagne für Beschäftigte) – und ein radikal vereinfachtes Preismodell: eine Version, ein Preis, ein Unternehmen. 149 € pro Monat zzgl. MwSt. bei jährlicher Abrechnung, unabhängig von der Mitarbeiterzahl.

Ein inhaltlicher Schwerpunkt der neuen Version ist genau das Thema dieser Ausgabe: Risiken aus Kooperationen, Ökosystemen und Lieferketten – vom sicheren Umgang mit Zugangsdaten über das Erkennen von Social Engineering bis zur Auswahl und Kontrolle von Dienstleistern im Rahmen der Auftragsverarbeitung nach DSGVO.

🔗 30-minütige Online-Demo buchen – danach 14 Tage kostenlos testen

Termin: AdvoTec 2026 – diese Woche in Freiburg

📅 11./12. Juni 2026 · Messe Freiburg, Sick-Arena/Halle 4, Stand D

Auf der AdvoTec, der Fachausstellung des Deutschen Anwaltstags, präsentieren wir die Security Awareness Toolbox erstmals einem Anwaltspublikum. An unserem Stand erwartet Sie:

• Kostenloser Security Awareness Quick Check – 10 Fragen, 2 Minuten, Kurzanalyse im Nachgang
• Security Awareness Poster als Dankeschön für alle Teilnehmer
• 15 % Messerabatt auf eine Jahreslizenz (nur vor Ort an Stand D)

🔗 Alle Infos zur AdvoTec