Antwortans\u00e4tze f\u00fcr Datenschutzbeauftragte<\/strong> <\/strong><\/p>\n\n\n\n <\/p>\n\n\n\n Das Besondere an gro\u00dfen Datenlecks ist: Sie bleiben nie auf die betroffene Organisation beschr\u00e4nkt. Die gestohlenen Informationen verbreiten sich und werden mit anderen Datenbanken abgeglichen, um Phishing-Kampagnen, Betrugsversuche beim Onlinebanking usw. zu unterst\u00fctzen. Von Datendiebstahl sind sowohl Privatpersonen als auch Unternehmen und Organisationen betroffen. Daher gelten dieselben Verhaltensregeln, egal ob man seine pers\u00f6nlichen Zug\u00e4nge verwaltet oder ein IT-System mit 5.000 Arbeitspl\u00e4tzen. <\/p>\n\n\n\n Gro\u00dfe Datenlecks sind zu einem weltweiten und medienwirksamen Ph\u00e4nomen geworden. Cyberkriminelle, darunter auch neue Akteure, versuchen, den \u201egr\u00f6\u00dftm\u00f6glichen Coup\u201c zu landen und dies \u00f6ffentlich bekannt zu machen. \u00dcber das Streben nach Bekanntheit hinaus k\u00f6nnen diese Gruppen durch Gewinnsucht motiviert sein oder, wenn auch weniger h\u00e4ufig, aus geopolitischen Gr\u00fcnden handeln. <\/p>\n\n\n\n \u201eDatenlecks sind zu einem Thema von allgemeinem Interesse geworden. Die \u00d6ffentlichkeit wird sich dieser Art von Risiko zunehmend bewusst.\u201c <\/p>\n <\/blockquote>\n <\/p>\n\n\n\n <\/p>\n<\/blockquote>\n\n\n\n Heutzutage wurden beinahe von jedem schon einmal personenbezogene Daten in einem Datenleck offengelegt. Die eigentliche Herausforderung besteht daher darin, festzustellen, welche Informationen kompromittiert wurden und welche Ma\u00dfnahmen je nach Art dieser Daten zu ergreifen sind: <\/p>\n\n\n\n Die zu erlernenden Abl\u00e4ufe sind f\u00fcr ein Unternehmen dieselben wie f\u00fcr eine Privatperson, auch wenn die Risiken in einer Organisation naturgem\u00e4\u00df um ein Vielfaches gr\u00f6\u00dfer sind. So verdienen auch soziale Netzwerke im beruflichen Umfeld besondere Aufmerksamkeit. Denn die auf LinkedIn oder anderen Plattformen ver\u00f6ffentlichten Informationen k\u00f6nnen mit gestohlenen Daten abgeglichen werden, um ausgefeilte Social-Engineering-Angriffe zu erm\u00f6glichen \u2013 sei es Identit\u00e4tsdiebstahl, hochgradig zielgerichtetes Phishing oder betr\u00fcgerische Telefonanrufe. <\/p>\n\n\n\n In jedem Fall sollte ein Datenleck bei einem Lieferanten oder einem Zentraleinkauf sofort eine Warnung vor dem Risiko einer Phishing-Kampagne an die betroffenen Teams ausl\u00f6sen. Auch die Bank sollte \u00fcber das Risikos eines Missbrauchs von Bankdaten (Versuche von \u00dcberweisungs- oder Lastschriftbetrug) informiert werden. <\/p>\n\n\n\n Hier ist eine Checkliste mit vorrangigen Ma\u00dfnahmen, die Organisationen und ihre Mitarbeitenden ergreifen sollten, um im Fall eines Datendiebstahls richtig zu handeln: <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Seit 2018 verpflichtet die DSGVO Organisationen, die Opfer einer Datenschutzverletzung geworden sind, die Datenschutzbeh\u00f6rden und in bestimmten F\u00e4llen die betroffenen Personen zu informieren. <\/p>\n\n\n\n \u201eDiese Verpflichtung hat die Praxis grundlegend ver\u00e4ndert: Unternehmen haben ihre Kommunikation zu diesem Thema insgesamt verbessert und seit zwei oder drei Jahren kann man wirklich von einer zunehmenden Transparenz in diesen Fragen sprechen.\u201c <\/p>\n <\/blockquote>\n Die Kommunikationsformate variieren, manche sind sehr knapp gehalten, andere detaillierter und informativer, aber der Trend geht eindeutig in Richtung mehr Transparenz. Das ist eine positive Entwicklung: Eine schnelle und klare Kommunikation erm\u00f6glicht es den Betroffenen, sofort die richtigen Ma\u00dfnahmen zu ergreifen. Organisationen, die nach einem Datenleck gut kommunizieren und erkl\u00e4ren, was offengelegt wurde, was nicht und was die Opfer tun m\u00fcssen, begrenzen nicht nur den tats\u00e4chlichen Schaden, sondern sch\u00fctzen auch langfristig ihren Ruf. <\/p>\n\n\n\n Eine der direkten Folgen der verst\u00e4rkten Medienberichterstattung \u00fcber Datenlecks ist unweigerlich die Zunahme von Anfragen, wenn der Fall eintritt. Nicolas Pley, stellvertretender Direktor f\u00fcr Risikopr\u00e4vention bei der Banque de France, beschreibt eine zeitraubende Situation, in der der Datenschutzbeauftragte und das CERT der Banque de France \u00fcber verschiedene Kommunikationskan\u00e4le innerhalb der Organisation mit Fragen und Informationen unterschiedlicher Qualit\u00e4t bombardiert wurden. <\/p>\n\n\n\n Um aus dieser reaktiven Haltung herauszukommen, hat Nicolas Pley einen internen Kommunikationskanal namens \u201eCyberurgences\u201c eingerichtet, in dem die Cyber-Teams kurz und knapp Antworten auf die folgenden Fragen liefern: <\/p>\n\n\n\n Die Idee besteht somit darin,\u00a0verl\u00e4ssliche\u00a0Informationen proaktiv an eine ausgew\u00e4hlte Gruppe interner Leser zu verbreiten, die diese, falls sie es f\u00fcr notwendig erachten, an ihre Teams weiterleiten k\u00f6nnen. Neben\u00a0der\u00a0Zeitersparnis dient diese Methode auch als Auffrischung in Sachen Sensibilisierung. Dieses Beispiel f\u00fcr interne Kommunikation, hier haupts\u00e4chlich zwischen den Cyber-Teams und der Gesch\u00e4ftsleitung der Banque de France, k\u00f6nnte durchaus auf einen gr\u00f6\u00dferen Kreis von Akteuren ausgeweitet werden. Denn der Austausch solcher Informationen\u00a0in einem Netzwerk aus Partnern\u00a0k\u00f6nnte dazu beitragen, ein\u00a0System\u00a0zu f\u00f6rdern, in dem jeder wei\u00df, ob und wie er handeln muss.\u00a0<\/p>\n\n\n\n \u201eDiese Initiative hat es uns erm\u00f6glicht, angesichts zahlreicher, sich wiederholender und zu ungenauer E-Mail-Ketten wieder die Kontrolle zu erlangen. Dank dieses neuen Kanals haben wir den Aufwand f\u00fcr die Kommunikation rund um Datenlecks reduziert und verbreiten nun eine einheitliche Botschaft, was f\u00fcr die Teams auch klarer und beruhigender ist.\u201c <\/p>\n <\/blockquote>\n <\/p>\n\n\n\n Zusammenfassend: Was ist bei einem massiven Datenleck bei einem Drittanbieter zu tun? Es sollte von den Datenschutzbeauftragten als internes Ereignis betrachtet werden. Jeder gr\u00f6\u00dfere \u00f6ffentliche Vorfall bietet die Gelegenheit, die Reaktionsf\u00e4higkeit der Teams zu testen, die Einhaltung der Regeln f\u00fcr digitale Hygiene zu \u00fcberpr\u00fcfen, die Anweisungen zur Trennung von beruflicher und privater Nutzung in Erinnerung zu rufen und das Cyberrisiko<\/a> auf sehr konkrete Weise zu veranschaulichen. <\/strong><\/p>\n\n\n\nKontext schaffen<\/strong> <\/h2>\n\n\n\n
\n
\n
Verstehen, welche Daten wirklich abgeflossen sind<\/strong> <\/h2>\n\n\n\n
\n
\n
\n
Datendiebstahl: Was tun?<\/strong> <\/h2>\n\n\n\n
\n
\n
\n
\n
\n
Kommunikation aus Compliance-Gr\u00fcnden und zur Vertrauensbildung<\/strong> <\/h2>\n\n\n\n
\n
Die Initiative der Banque de France<\/strong> <\/h2>\n\n\n\n
\n
\n
\n
\n
\n
![\"\"](\"https:\/\/www.advens.com\/app\/uploads\/2026\/03\/INT_2026_02_Signature_CERT_.png\")
<\/a><\/figure>\n\n\n\n