Cloud-Dienste für Human Resources (HR) und Finanzmanagement haben in den vergangenen Jahren massiv an Bedeutung gewonnen. Sie erleichtern die Personalverwaltung, Lohnabrechnung und interne Kommunikation erheblich. Gleichzeitig bergen sie auch Risiken. Ein am 15.08.2025 gemeldeter Datenschutzvorfall bei dem internationalen HR-Cloud-Anbieter Workday verdeutlicht, dass selbst etablierte Dienstleister nicht immun gegen Cyberangriffe sind. Der Vorfall wirft grundlegende datenschutzrechtliche und sicherheitstechnische Fragen auf, die Unternehmen, die solche Plattformen nutzen, ernst nehmen müssen.
Weiterlesen: Datenschutzvorfall bei WorkdayWorkday-Anwendung
Workday ist ein US-amerikanischer Cloud-Anbieter, der sich auf Unternehmenssoftware für Personalwesen und Finanzmanagement spezialisiert hat. Das Geschäftsmodell basiert auf einer zentralen Plattform, über die Unternehmen weltweit Prozesse wie Personalverwaltung, Gehaltsabrechnung, Talentmanagement, Zeit- und Abwesenheitserfassung sowie Finanz- und Budgetplanung steuern können. Statt dezentraler IT-Infrastrukturen bietet Workday ein Software-as-a-Service-Modell, bei dem alle Kunden über die Cloud auf standardisierte, regelmäßig aktualisierte Anwendungen zugreifen. Dadurch verspricht Workday nicht nur Effizienz und Flexibilität, sondern auch eine bessere Skalierbarkeit und Datenintegration über verschiedene Unternehmensbereiche hinweg.
In der Vergangenheit war das Unternehmen bereits im datenschutzrechtlichen Kontext einmal relevant gewesen. Damals ging es aber nicht um Vorwürfe gegen das Unternehmen selbst, sondern um eine datenschutzwidrige Einführung von Workday über die Betriebsvereinbarung in ein Unternehmen.
Hintergrund des Vorfalls
Workday gab kürzlich bekannt, dass Kriminelle unbefugten Zugriff auf das Drittanbieter-CRM-System des Unternehmens erlangten. Insgesamt seien möglicherweise Daten von etwa 11.000 Kunden aus über 175 Staaten betroffen. Der Angriff sei im Rahmen einer Social-Engineering-Kampagne erfolgt, bei der Mitarbeiter gezielt mittels Nachrichten oder Anrufen kontaktiert wurden, um Zugangsdaten und persönliche Informationen preiszugeben. Die Täter sollen vorgetäuscht haben, Teil der IT- oder Personalabteilung des Unternehmens zu sein, um Vertrauen zu erzeugen und die Datensicherheitsvorkehrungen zu umgehen.
Nach derzeitigem Kenntnisstand seien keine Daten innerhalb der jeweiligen Workday-Kunden-Tenants kompromittiert worden. Vielmehr beschränke sich der Datendiebstahl auf allgemein zugänglich Kontaktinformationen, wie Telefonnummern, Namen und E-Mail-Adressen. Das Unternehmen habe schnell Sicherheitsvorkehrungen getroffen, um Zugänge zu sperren. Auch habe man zusätzliche Schutzmaßnahmen implementiert, um vergleichbare Angriffe künftig zu verhindern.
Vergleichbare Vorfälle
Workday gab an, dass verschiedene Organisationen durch den Angriff betroffen seien. Erst vor kurzem hatte beispielsweise KLM bekannt gegeben, dass es einen Cyberangriff bei einem Drittanbieter gegeben hatte. Es gibt allerdings bislang keine Hinweise darauf, dass es sich hierbei um die gleichen Täter handelt.
Zu ergreifende Sicherheitsmaßnahmen
Workday weist ausdrücklich zum Schutz vor mit den erbeuteten Daten durchgeführten Betrugsversuchen darauf hin, dass das Unternehmen niemals per Telefon Passwörter oder andere sicherheitsrelevante Daten abfragt.
Daneben empfiehlt sich, dass betroffene Unternehmen ihre Mitarbeiter informieren und Sonderschulungen durchführen, um auf einen möglichen Angriff vorbereitet zu sein. Dabei sollte insbesondere auf die Risiken durch Social-Engineering-Angriffe hingewiesen werden. Außerdem verdeutlicht der Vorfall, dass auch Informationen, die auf den ersten Blick öffentlich oder wenig sensibel erscheinen, in die falschen Hände geraten können und dann für kriminelle Zwecke missbraucht werden. Zudem sollten Unternehmen ihre Datenschutz- und Sicherheitskonzepte kontinuierlich prüfen und mit den technischen Gegebenheiten der eingesetzten Cloud-Dienste abgleichen.
Jegliche Sicherheitslücke, die zu unbefugtem Zugriff auf personenbezogene Daten führt, kann datenschutzrechtliche Konsequenzen haben, wie etwa Bußgelder nach Art. 32 Datenschutzgrundverordnung (DSGVO). Ebenso ist die Pflicht zur Meldung von Datenschutzvorfällen an die zuständigen Aufsichtsbehörden und gegebenenfalls an die betroffenen Personen nach Art. 33 und 34 DSGVO relevant.
Fazit
Der Datenschutzvorfall bei Workday macht deutlich, dass Unternehmen, die auf HR-Cloud-Lösungen setzen, die Risiken nicht unterschätzen dürfen. Sensibilisierte Mitarbeitende, klare Richtlinien für den Umgang mit Unternehmensdaten und kontinuierliche Sicherheitsmaßnahmen sind unerlässlich. Der Vorfall zeigt, wie leicht Angreifer bestehende Sicherheitsmechanismen umgehen können, wenn menschliche Faktoren ausgenutzt werden. Unternehmen müssen deshalb technische, organisatorische und personelle Schutzmaßnahmen eng miteinander verzahnen und regelmäßig überprüfen, um datenschutzrechtliche und wirtschaftliche Schäden zu vermeiden. Als Externe Datenschutzbeauftragte unterstützen wir Sie dabei – auch, wenn Sie sich kurzfristige Hilfe zur Aufarbeitung dieses Vorfalls wünschen. Unsere Experten überprüfen, inwieweit Sie vom Datenlack bei Workday betroffen sind, übernehmen die Kommunikation mit dem Dienstleister und finden maßgeschneiderte Lösungen für Sie.
