Ein massiver Cyberangriff, Millionen betroffene Datensätze und eine zweistellige Millionenstrafe: Der Fall des internationalen Dienstleisters Capita zeigt eindrücklich, welche gravierenden Folgen unzureichende Datenschutz- und IT-Sicherheitsmaßnahmen haben können. Für Unternehmen in Deutschland und der EU ist dieser Fall ein deutliches Warnsignal – insbesondere im Hinblick auf die Anforderungen der DSGVO.
Cyberangriff mit weitreichenden Folgen
Im Frühjahr 2023 verschafften sich Cyberkriminelle Zugriff auf die IT-Systeme von Capita. Infolge des Angriffs wurden personenbezogene Daten von rund 6,6 Millionen Menschen kompromittiert. Betroffen waren unter anderem Pensionsdaten, Mitarbeiterinformationen sowie Kundendaten zahlreicher Organisationen, für die Capita als Auftragsverarbeiter tätig war.
Besonders kritisch: Auch personenbezogene Daten wie Finanzinformationen oder Angaben aus strafrechtlichen Kontexten gelangten in die Hände der Angreifer. Die Datenschutzaufsichtsbehörde sah hierin einen schwerwiegenden Verstoß gegen die Pflicht zur Gewährleistung angemessener Datensicherheit.
Warum die Datenschutzaufsichtsbehörde eine Millionenstrafe verhängte
Nach Ansicht der Aufsichtsbehörde hatte Capita grundlegende Datenschutzpflichten verletzt. Beanstandet wurden insbesondere:
- Fehlende angemessene technische und organisatorische Maßnahmen (TOMs)
- Unzureichende Zugriffsbeschränkungen und Rechtekonzepte
- Eine verspätete Reaktion auf sicherheitskritische Warnmeldungen
- Mängel bei Risikobewertungen, Penetrationstests und interner Sicherheitsorganisation
Der Fall macht deutlich: Datenschutzverstöße entstehen häufig nicht durch einzelne Fehler, sondern durch strukturelle Defizite im Datenschutz-Management und in der IT-Governance.
Bedeutung für Unternehmen nach der DSGVO
Auch wenn der Vorfall im Vereinigten Königreich stattfand, sind die Erkenntnisse uneingeschränkt auf Unternehmen im Anwendungsbereich der DSGVO übertragbar. Art. 32 DSGVO verpflichtet Unternehmen ausdrücklich, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen.
Neben hohen Bußgeldern drohen bei Datenschutzverletzungen unter anderem:
- Schadensersatzansprüche von Betroffenen
- Haftungsrisiken gegenüber Geschäftspartnern
- Meldepflichten an Aufsichtsbehörden und Betroffene
- Erhebliche Reputationsschäden
Besonders risikobehaftet sind Unternehmen, die als IT-Dienstleister, HR-Dienstleister oder sonstige Auftragsverarbeiter tätig sind.
Wie eine Datenschutzkanzlei präventiv unterstützen kann
Der Fall Capita zeigt, dass Datenschutz und Cybersecurity nicht isoliert betrachtet werden dürfen. Als spezialisierte Datenschutzkanzlei unterstützen wir Unternehmen unter anderem bei:
- der rechtlichen und technischen Bewertung bestehender TOMs,
- der Gestaltung und Prüfung von Auftragsverarbeitungsverträgen,
- der Durchführung von Datenschutz-Folgenabschätzungen (DSFA),
- der Vorbereitung auf Cyberangriffe und Datenpannen,
- der rechtssicheren Kommunikation mit Aufsichtsbehörden und Betroffenen im Ernstfall.
Unser Ansatz ist präventiv, praxisnah und rechtssicher und hat das Ziel, Bußgelder, Haftungsrisiken und Imageschäden zu vermeiden.
Unser Fazit
Der Capita-Fall verdeutlicht: Auch große Unternehmen sind nicht vor Datenschutzverstößen geschützt. Wer personenbezogene Daten verarbeitet, muss Datenschutz als kontinuierlichen Prozess verstehen. Eine frühzeitige rechtliche Beratung ist dabei ein entscheidender Erfolgsfaktor.
