Datenschutz: 100-Millionen-Euro-Strafe gegen Yango-Betreiber
24.06.2026 - 06:38:30 | boerse-global.de
Unternehmen müssen sich auf härtere Regeln und strengere Kontrollen einstellen.
Der dänische Pharmakonzern Novo Nordisk erlebt gerade, was passiert, wenn Hacker zuschlagen. In New Jersey wurden am 22. Juni die ersten Sammelklagen eingereicht. Eine Ex-Mitarbeiterin und eine Patientin werfen dem Konzern Fahrlässigkeit vor.
1,3 Terabyte Daten gestohlen
Anzeige: Die 100-Millionen-Euro-Strafe gegen den Yango-Betreiber zeigt: Aufsichtsbehörden werden gnadenlos. Wer Nutzerdaten in Drittländer übermittelt, braucht mehr als Standardvertragsklauseln. Dieser Report liefert die Checkliste für DSGVO-konforme Übermittlungen und ein TOM-Audit – bevor Ihr Unternehmen das nächste Bußgeld riskiert. Jetzt kostenlosen Compliance-Report anfordern
Die Hackergruppe FulcrumSec hatte seit März 2026 zugeschlagen. 60 Tage lang plünderte sie die Systeme. Die Beute: geistiges Eigentum an bekannten Medikamenten, KI-Modelle und über 11.000 pseudonymisierte Patientendaten. Insgesamt rund 1,3 Terabyte.
Zwei verschiedene Angreifergruppen forderten Lösegeld – bis zu 75 Millionen US-Dollar. Novo Nordisk zahlte nicht. Die Hacker waren offenbar über kompromittierte Zugangsdaten in einem JavaScript-Bundle und GitHub-Token eingestiegen.
100 Millionen Euro Strafe für Yango-Betreiber
Nicht nur Hacker, auch Aufsichtsbehörden werden teuer. Die niederländische Datenschutzbehörde AP verhängte ein Rekordbußgeld von 100 Millionen Euro gegen die MLU B.V., Betreiber des Fahrdienstes Yango.
Der Grund: Das Unternehmen übermittelte Nutzerdaten aus Finnland und Norwegen nach Russland. Problem: Es gibt keinen Angemessenheitsbeschluss für Russland. Standardvertragsklauseln allein reichen der Behörde nicht. Die Übermittlungen müssen sofort gestoppt werden.
Beschwerden auf Rekordniveau
Die Deutschen werden sensibler. In Berlin meldete Datenschutzbeauftragte Meike Kamp für 2025 insgesamt 9.224 Eingaben – ein Plus von 52 Prozent. Besonders häufig kritisiert: mangelnde Transparenz beim KI-Einsatz durch Behörden und missbräuchliche Datenabfragen durch Mitarbeiter.
Wann haften Unternehmen wirklich?
Das Sozialgericht Nürnberg brachte am 10. Juni Klarheit in eine zentrale Frage: Wann führt ein Datenleck zu Schadensersatz? Eine Versicherte hatte ihre Krankenkasse nach dem MOVEit-Datenleck verklagt. Die Richter wiesen die Klage ab.
Die Botschaft: Ein erfolgreicher Hackerangriff beweist noch keine unzureichende Sicherheit. Kann ein Unternehmen angemessene technische und organisatorische Maßnahmen (TOM) nachweisen, entfällt die Haftung. Zudem lag kein konkreter immaterieller Schaden vor.
Der Europäische Gerichtshof (EuGH) ergänzte diese Linie am 18. Juni (Az. C-484/24). Eine rechtswidrige Datenerhebung führt nicht automatisch zu einem Beweisverwertungsverbot. Die nationalen Gerichte müssen die Verhältnismäßigkeit prüfen – der Grundsatz der Datenminimierung gilt aber auch im Prozess.
75.000 Firewalls mit gültigen Zugangsdaten
Neben gezielten Angriffen bleiben technische Altlasten eine tickende Zeitbombe. Mitte Juni wurde der Datensatz „FortiBleed“ öffentlich. Er enthält gültige Zugangsdaten für weltweit bis zu 75.000 Firewalls.
Anzeige: Hackerangriffe mit 1,3 TB gestohlenen Daten und Rekordbußgelder von 100 Millionen Euro – die Datenschutzlandschaft wird rauer. Unternehmen, die ihre technischen und organisatorischen Maßnahmen nicht regelmäßig prüfen, haften bei Lecks. Dieser Leitfaden zeigt, wie Sie mit einem Schritt-für-Schritt-TOM-Audit und einer Hardware-Entsorgung nach BSI-Norm Bußgelder vermeiden. TOM-Audit-Leitfaden jetzt sichern
Entwarnung: Es handelt sich nicht um eine neue Sicherheitslücke, sondern um eine Sammlung aus bekannten Schwachstellen und Infostealer-Daten. Das BSI mahnt dennoch: Patches einspielen und Multi-Faktor-Authentisierung nutzen.
Die Altgeräte-Falle
Ein oft übersehenes Risiko: die Entsorgung von Hardware. Wer Datenträger nicht physisch nach geltenden Normen vernichtet, riskiert Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. Eine softwareseitige Löschung reicht bei defekten Datenträgern oft nicht aus. Die DSGVO und das BSI sind hier klar.
