Zuletzt aktualisiert am 1. Juni 2026

Immer häufiger werden Unternehmen in Deutschland Opfer sogenannter Hacker und deren Angriffe. Doch Hacker ist nicht gleich Hacker und dementsprechend sind auch die im Datenschutz zu bedenkenden Faktoren von Angriff zu Angriff verschieden.

Personenbezogene Daten und Hacker

Als Hacker bezeichnet man umgangssprachlich solche Personen, die (meist illegal) in Computersysteme eindringen. Bei einem solchen Hackerangriff legen die Angreifer keinen großen Wert auf Datenschutz. Andererseits ist das gezielte Abgreifen personenbezogener Daten selten ihr Hauptziel. Vielmehr sind Datenschutzverletzungen bei Hackerangriffen meist „Kollateralschäden“. Nichtsdestotrotz liegt dann eine Datenschutzverletzung vor.

Um einem potentiellen Angreifer den Zugriff zu erschweren, sollte ein sicheres Vorgehen durch Umsetzungen des IT-Grundschutz-Vorgehens gemäß der BSI Standards zur Steigerung der Informationssicherheit im Unternehmen durchgeführt werden. Das Ziel muss es sein, Daten unter höchsten Standards zu verarbeiten, um einen erfolgreichen Hacker-Angriff unwahrscheinlicher zu machen.

Als Kunde eines Unternehmens hat man keinen Einfluss auf diese Faktoren und die Verarbeitung der eigenen Daten, man vertraut meist blind Unternehmen seine Daten an, darum erzwingen die Datenschutzgesetze automatisch eine sichere Verarbeitung von Daten in EU-Unternehmen gemäß Artikel 32 DSGVO der Sicherheit der Verarbeitung.

Arten von Hackern

Auch wenn der umgangssprachliche Begriff des Hackers sofort mit einem illegalen Zugriff auf fremde Computersysteme gleichgesetzt wird, stimmt das nicht immer.

Grundsätzlich kann man zwischen dem „White Hat Hacker“, „Grey Hat Hacker“ und „Black Hat Hacker“ unterscheiden. Die Farbabstufung von weiß über grau hin zu schwarz symbolisiert dabei, inwieweit sich der Hacker noch in der Legalität bewegt. Während ein „White Hat Hacker“ im Normalfall von einem Unternehmen beauftragt wird, um Sicherheitslücken zu finden, handelt der „Black Hat Hacker“ in böswilliger und eigennütziger Absicht. Der „White Hat Hacker“ arbeitet mit dem Unternehmen zusammen und führt in Absprache mit diesem Penetrationstests durch, die der Steigerung und Härtung der IT-Sicherheit dienen. Der „Black Hat Hacker“ sucht zwar genauso nach Schwachstellen, will diese aber für eigene finanzielle Motive ausnutzen oder dem Unternehmen damit einfach nur schaden.

Zwischen diesen Extremen gibt es noch den „Grey Hat Hacker“. Dieser bewegt sich in einer rechtlichen Grauzone. Er dringt ohne Erlaubnis in fremde Computersysteme ein, um Sicherheitslücken zu finden. Diese nutzt er aber in der Regel nicht zum eigenen Vorteil aus, sondern veröffentlicht sie. Die Schäden sind hier für ein Unternehmen trotzdem sehr hoch, da nicht nur wirtschaftliche Schäden herbeigeführt werden, sondern auch das Image nachhaltig leidet. Zum Teil teilen die „Grey Hat Hacker“ dem betroffenen Unternehmen auch mit, dass sie eine Sicherheitslücke gefunden haben und lassen sich im Nachhinein finanziell für ihren Aufwand entschädigen (Bug-Bounty-Programm).

Neben diesen Abstufungen gibt es auch noch Gruppierungen wie Hacktivisten, die aus politischen oder sozialen Motiven handeln. Sie wollen mit ihrem Handeln eine Botschaft verkörpern. Auch sie handeln illegal, werden aber oft wegen zu geringer Schäden für die betroffenen Unternehmen nicht verurteilt.

Konsequenzen bei einem Angriff

Sobald eine Datenschutzverletzung (z.B. illegaler Hackerangriff) vorliegt, muss eine datenschutzrechtliche Meldung (72h Frist) des Vorfalls vorgenommen werden. Meist ist dies bei „Black Hat“ oder „Grey Hat Hackern“ der Fall. Um die datenschutzrechtlichen Risiken so gering wie möglich zu halten, ist eine professionelle Beratung unerlässlich.

Auch bezüglich konkreter Schutzmaßnahmen sollten Sie sich im Voraus von uns professionell beraten und in der Durchführung unterstützen lassen.

Häufige Angriffsmethoden und ihre Datenschutzrelevanz

Die Methoden, mit denen Hacker in Unternehmensnetzwerke eindringen, sind vielfältig und entwickeln sich ständig weiter. Phishing-Angriffe gehören nach wie vor zu den häufigsten Einfallstoren. Dabei werden Mitarbeiter durch täuschend echt aussehende E-Mails dazu verleitet, Zugangsdaten preiszugeben oder Schadsoftware herunterzuladen. Die datenschutzrechtliche Relevanz ist hier besonders hoch, da durch kompromittierte Zugänge oft auf große Mengen personenbezogener Daten zugegriffen werden kann.

Ransomware-Angriffe haben in den letzten Jahren drastisch zugenommen. Bei dieser Angriffsform werden Unternehmensdaten verschlüsselt und ein Lösegeld für die Entschlüsselung gefordert. Aus datenschutzrechtlicher Sicht liegt hier eine Datenschutzverletzung nach Art. 4 Nr. 12 DSGVO vor, da die Verfügbarkeit der personenbezogenen Daten beeinträchtigt ist. Auch wenn die Daten nicht kopiert oder weitergegeben werden, muss die Verletzung gemeldet werden.

Pflichten nach einem Hackerangriff

Nach einem erfolgreichen Hackerangriff treffen das betroffene Unternehmen zahlreiche datenschutzrechtliche Pflichten. Die wichtigste ist die Meldepflicht nach Art. 33 DSGVO: Die zuständige Aufsichtsbehörde muss innerhalb von 72 Stunden nach Bekanntwerden der Verletzung informiert werden. Diese Meldung muss unter anderem die Art der Verletzung, die betroffenen Datenkategorien, die ungefähre Zahl der betroffenen Personen sowie die ergriffenen Gegenmaßnahmen enthalten.

Außerdem kann eine Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO erforderlich sein, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat. Dies ist beispielsweise der Fall, wenn Zugangsdaten, Finanzdaten oder Gesundheitsdaten kompromittiert wurden. Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen und Empfehlungen für Schutzmaßnahmen enthalten.

Präventive Schutzmaßnahmen

Die effektivste Strategie gegen Hackerangriffe ist die Prävention. Unternehmen sollten ein mehrschichtiges Sicherheitskonzept implementieren, das sowohl technische als auch organisatorische Maßnahmen umfasst. Auf technischer Seite gehören dazu aktuelle Firewalls, Antivirensoftware, regelmäßige Sicherheitsupdates, Verschlüsselung sensibler Daten sowie eine Zwei-Faktor-Authentifizierung für alle kritischen Systeme.

Mindestens ebenso wichtig sind die organisatorischen Maßnahmen. Regelmäßige Datenschutz- und IT-Sicherheitsschulungen für alle Mitarbeiter sind wichtig, da der Mensch nach wie vor das größte Einfallstor für Hackerangriffe darstellt. Außerdem sollte ein Notfallplan für den Fall eines erfolgreichen Angriffs existieren, der die Zuständigkeiten, Kommunikationswege und die einzuleitenden Sofortmaßnahmen klar regelt.

Versicherungsschutz und Haftung

Neben den datenschutzrechtlichen Konsequenzen eines Hackerangriffs stellt sich auch die Frage der Haftung. Der Verantwortliche nach Art. 4 Nr. 7 DSGVO haftet grundsätzlich für Schäden, die durch eine unrechtmäßige Verarbeitung entstehen. Eine Cyber-Versicherung kann zwar die finanziellen Folgen eines Angriffs abmildern, befreit aber nicht von der datenschutzrechtlichen Verantwortung. Unternehmen sollten daher neben dem Versicherungsschutz auch in technisch-organisatorische Maßnahmen investieren, um das Risiko eines erfolgreichen Angriffs zu minimieren.

Aktuelle Bedrohungslage für Unternehmen in Deutschland

Die Bedrohungslage durch Cyberangriffe hat sich in den letzten Jahren dramatisch verschärft. Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden täglich rund 250.000 neue Schadprogramm-Varianten registriert. Besonders betroffen sind kleine und mittlere Unternehmen, die häufig über weniger ausgefeilte Sicherheitssysteme verfügen als Großkonzerne, aber dennoch attraktive Ziele für Cyberkriminelle darstellen.

Die wirtschaftlichen Schäden durch Cyberangriffe in Deutschland belaufen sich nach Schätzungen des Branchenverbands Bitkom auf über 200 Milliarden Euro jährlich. Neben den direkten finanziellen Schäden durch Erpressung, Betriebsunterbrechungen und Wiederherstellungskosten entstehen auch indirekte Schäden durch Reputationsverlust und den Verlust des Kundenvertrauens. Die datenschutzrechtlichen Konsequenzen kommen noch hinzu.

Supply-Chain-Angriffe und ihre datenschutzrechtliche Dimension

Eine besonders perfide Angriffsmethode sind sogenannte Supply-Chain-Angriffe, bei denen Hacker nicht das eigentliche Zielunternehmen direkt angreifen, sondern einen Dienstleister oder Zulieferer kompromittieren. Über die bestehenden Verbindungen und Vertrauensbeziehungen gelangen die Angreifer dann in das Netzwerk des eigentlichen Ziels. Für die datenschutzrechtliche Bewertung ist dabei entscheidend, dass auch der Auftraggeber als Verantwortlicher nach Art. 4 Nr. 7 DSGVO haftet, wenn der Auftragsverarbeiter kompromittiert wurde.

Unternehmen müssen daher nicht nur ihre eigene IT-Sicherheit im Blick haben, sondern auch die ihrer Dienstleister und Zulieferer. Die Auftragsverarbeitungsverträge nach Art. 28 DSGVO sollten konkrete Anforderungen an die IT-Sicherheit des Dienstleisters enthalten, einschließlich der Pflicht zur unverzüglichen Meldung von Sicherheitsvorfällen. Regelmäßige Audits bei den Dienstleistern können zusätzliche Sicherheit bieten.

Der Incident-Response-Plan als Pflichtdokument

Ein dokumentierter Incident-Response-Plan ist für jedes Unternehmen wichtig. Dieser Plan legt fest, wer im Fall eines Hackerangriffs welche Aufgaben übernimmt, welche Kommunikationswege genutzt werden und welche technischen Sofortmaßnahmen einzuleiten sind. Der Plan muss auch die datenschutzrechtlichen Meldepflichten berücksichtigen und sicherstellen, dass die 72-Stunden-Frist zur Meldung an die Aufsichtsbehörde eingehalten wird.

Der Incident-Response-Plan sollte regelmäßig getestet und aktualisiert werden. Tischübungen, bei denen ein Cyberangriff simuliert wird, helfen dabei, Schwachstellen im Plan zu identifizieren und die Reaktionsfähigkeit des Teams zu verbessern. Die Einbindung des Datenschutzbeauftragten in den Incident-Response-Prozess ist dabei zwingend erforderlich, um die datenschutzrechtlichen Anforderungen sicherzustellen.

Mitarbeiter als entscheidender Sicherheitsfaktor

Studien zeigen, dass über 80 Prozent aller erfolgreichen Cyberangriffe auf menschliches Versagen zurückzuführen sind. Phishing-E-Mails, unsichere Passwörter und der nachlässige Umgang mit sensiblen Daten öffnen Hackern Tür und Tor. Die beste technische Infrastruktur nützt wenig, wenn die Mitarbeiter nicht ausreichend sensibilisiert und geschult sind.

Regelmäßige Awareness-Schulungen sind daher eine der effektivsten Maßnahmen zur Steigerung der IT-Sicherheit und zum Schutz personenbezogener Daten. Diese Schulungen sollten praxisnah gestaltet sein und aktuelle Bedrohungsszenarien aufgreifen. Simulierte Phishing-Kampagnen, bei denen Mitarbeiter mit realistischen Test-E-Mails konfrontiert werden, haben sich als besonders wirksam erwiesen, um das Bewusstsein für Cybergefahren nachhaltig zu schärfen.

Zusammenfassung und Handlungsempfehlung

Die Bedrohung durch Hackerangriffe wird in den kommenden Jahren weiter zunehmen. Unternehmen müssen daher in eine vollständige Sicherheitsstrategie investieren, die technische Schutzmaßnahmen, organisatorische Prozesse und die Sensibilisierung der Mitarbeiter gleichermaßen umfasst. Ein erfahrener Datenschutzbeauftragter unterstützt nicht nur bei der präventiven Absicherung, sondern auch bei der datenschutzkonformen Bewältigung eines Sicherheitsvorfalls. Die frühzeitige Vorbereitung auf den Ernstfall kann die Folgen eines Angriffs erheblich mildern.

Die Kombination aus technischen Schutzmaßnahmen, organisatorischen Prozessen und geschulten Mitarbeitern bildet die Grundlage für einen wirksamen Schutz gegen Cyberangriffe. Investitionen in die IT-Sicherheit und den Datenschutz sind keine optionalen Ausgaben, sondern eine strategische Notwendigkeit für jedes Unternehmen, das seine Geschäftstätigkeit langfristig absichern möchte.

Angesichts der stetig wachsenden Bedrohungslage sollten Unternehmen ihre Sicherheitsmaßnahmen regelmäßig überprüfen und an aktuelle Bedrohungsszenarien anpassen. Ein jährliches Sicherheitsaudit durch externe Experten kann dabei helfen, blinde Flecken aufzudecken und das Sicherheitsniveau kontinuierlich zu verbessern.