Was ein Datenleck wirklich kostet: Die Rechnung kommt über Jahre, und das Bußgeld ist der kleinste Teil
18 July 2026 · 7 Min. Lesezeit · INTO MSP Team
Wenn von einem Datenleck die Rede ist, denkt der Inhaber eines kleinen Unternehmens meist an eines: das Bußgeld. Und schließt daraus, dass so etwas den Großen passiert, dass die Aufsicht auf Kleine nicht schaut, und dass das Risiko theoretisch ist. Diese Woche kamen zwei Erinnerungen daran, dass die Rechnung anders aussieht, und dass sie noch lange nach dem eigentlichen Vorfall eintrifft.
23andMe, das Unternehmen für Gentests, hat einem Vergleich über 18 Millionen Dollar mit US-Generalstaatsanwälten zugestimmt, wegen Versäumnissen beim Schutz von Kundendaten. Der Einbruch geschah bereits 2023. Die Rechnung kam also drei Jahre später, zusätzlich zu allem, was das Unternehmen in der Zwischenzeit ohnehin gezahlt hatte. In derselben Woche verhängte die italienische Aufsicht gegen einen Telekomanbieter 1,7 Millionen Euro Strafe wegen Datenlecks. Ransomware-Gruppen haben unterdessen ein Modell verfeinert, bei dem sie Ihre Systeme nicht einmal mehr sperren müssen: Es genügt, "Beweise" zu veröffentlichen, dass sie Ihre Daten besitzen, und zu warten.
Keines dieser Unternehmen ist klein. Aber die Mechanik der Rechnung ist für alle dieselbe, nur die Nullen unterscheiden sich. Es lohnt sich, sie zu verstehen, bevor sie persönlich wird.
Die Rechnung hat vier Posten, das Bußgeld ist nur einer
Der erste Posten sind die direkten Kosten des Vorfalls: Stillstand, Wiederherstellung der Systeme, Forensik, Wiederaufbau des Zerstörten, Überstunden. Das zahlen Sie sofort, während Sie noch gar nicht genau wissen, was passiert ist. Für ein kleines Unternehmen ist das oft der größte Posten, denn er wird in Tagen gemessen, an denen niemand seine eigentliche Arbeit tut.
Der zweite Posten ist juristisch: das Verfahren bei der Aufsichtsbehörde, ein mögliches Bußgeld, und immer häufiger Klagen oder Vergleiche mit den Menschen, deren Daten abgeflossen sind. Der Fall 23andMe zeigt, dass sich dieser Posten über Jahre zieht und ein Vergleich höher ausfallen kann als jedes Bußgeld.
Der dritte Posten ist kommerziell, und ihn führt kein Bericht auf: die Kunden, die gehen. Wer mit einer Steuerkanzlei, einer Anwaltskanzlei oder einem IT-Partner arbeitet, vertraut ihnen seine Daten an. Fließen diese Daten ab, endet der Vertrag nicht mit einem Knall. Er wird einfach nicht verlängert. Für ein Dienstleistungsunternehmen kann dieser Posten alle anderen zusammen übersteigen.
Der vierte Posten ist die Zeit der Geschäftsführung. Die Monate, die der Inhaber mit Anwälten, der Aufsicht und beunruhigten Kunden verbringt, sind Monate, in denen er sich nicht um das Geschäft kümmert.
Was die Aufsicht wirklich verlangt
Die gute Nachricht, die kaum jemand kennt: Die DSGVO verlangt keine perfekte Sicherheit. Sie verlangt angemessene Maßnahmen und den Nachweis, dass es sie gibt. Kommt es zum Vorfall, laufen die Fragen der Behörde auf Folgendes hinaus:
- Hatten Sie grundlegende Schutzmaßnahmen, angemessen für die Art der Daten, die Sie halten
- Haben Sie den Vorfall fristgerecht gemeldet, wobei die Frist in Stunden und Tagen gemessen wird, nicht in Wochen
- Können Sie zeigen, was geschehen ist, mit welchen Daten und wann
- Was haben Sie unternommen, damit es sich nicht wiederholt
Ein Unternehmen, das auf diese Fragen Antworten und Unterlagen hat, kommt ungleich leichter durch das Verfahren als eines, das mit den Schultern zuckt. Der Unterschied liegt nicht darin, ob der Vorfall passiert ist, sondern ob hinter dem Unternehmen ein dokumentiertes System steht: Datenübersicht, Zugriffskontrolle, Protokolle, getestetes Backup, Meldeverfahren. Das Compliance-Minimum haben wir im DSGVO-Beitrag behandelt, und Unternehmen, die unter NIS2 fallen, tragen zusätzliche Pflichten, bis hin zur persönlichen Verantwortung der Geschäftsleitung.
Warum ein kleines Unternehmen schlechter dasteht als ein großes
Ein Konzern überlebt ein Datenleck: Er hat Reserven, eine Rechtsabteilung und Versicherungen. Ein kleines Unternehmen hat nichts davon, und dem Angreifer ist das gleich. Mehr noch: Das kleine Unternehmen ist das leichtere Ziel, gerade weil es annimmt, keines zu sein. Diese Annahme haben wir im Ransomware-Beitrag zerlegt: Angreifer wählen nicht die Großen, sie wählen die Ungeschützten.
Und es gibt einen zweiten Blickwinkel, der leicht übersehen wird: Ein kleines Unternehmen ist immer auch Lieferant. Werden Ihre Systeme als Weg zu Ihrem Kunden benutzt, sprechen Sie nicht mehr nur mit der Aufsicht, sondern mit den Anwälten Ihres Kunden. Verträge mit größeren Partnern enthalten zunehmend Sicherheitspflichten, und deren Verletzung ist ein eigener Kostenposten, unabhängig von jedem Bußgeld.
Was sich vor dem Vorfall zu tun lohnt
Alles, was Aufsicht und Kunden nach einem Vorfall verlangen werden, ist vorher billiger einzurichten:
- Wissen, welche Daten Sie halten, wo, und wer darauf Zugriff hat
- Grundhygiene beim Zugriff: MFA, minimale Berechtigungen, Schließen alter Konten
- Ein Backup, das durch Wiederherstellung getestet wurde, nicht nur eingerichtet
- Protokolle, wer was getan hat, damit Sie nach einem Vorfall nicht raten
- Ein kurzes schriftliches Verfahren: Wer ruft wen an, wer meldet, wer spricht mit den Kunden
Nichts davon ist eine Investition in ein "Vielleicht". Es ist der Unterschied zwischen einem Vorfall, der eine unangenehme Episode bleibt, und einem Vorfall, der zu einem mehrjährigen Kostenblock mit offenem Ende wird. Die Rechnung für ein Datenleck lässt sich nicht herunterhandeln, aber sie lässt sich klein halten, und zwar ausschließlich im Voraus. Wenn Sie nicht wissen, wie Ihr Unternehmen die vier Fragen der Aufsicht aus diesem Text heute beantworten würde, ist genau das der Punkt, an dem Sie anfangen sollten.
Soll das jemand für Sie regeln, ohne Drama?
INTO MSP betreut Security, Backup und IT für kleine und mittlere Unternehmen. Schritt eins: ein kurzer, unverbindlicher Check.
IT-Beratung & vCIO → Kontakt