23andMe, Illuminate Education, Post Office: Datenschutz-Welle erschüttert Konzerne

Gleich drei spektakuläre Fälle binnen 72 Stunden: Aufsichtsbehörden in den USA und Großbritannien machen Ernst mit Unternehmen, die den Schutz sensibler Kundendaten vernachlässigen. Die Botschaft ist klar – Datenpannen haben Konsequenzen.

Von Gesundheitsdaten über Schülerakten bis zu Opfern eines IT-Skandals: Die jüngsten Vergleiche und Sanktionen zeigen, dass Behörden und Gerichte nicht länger wegschauen, wenn Unternehmen bei der Datensicherheit versagen. Die Summen sind beträchtlich, doch noch schwerer wiegen die operativen Auflagen.

Die US-Handelsbehörde FTC hat diese Woche einen Vergleich mit Illuminate Education geschlossen. Der Bildungstechnologie-Anbieter aus Wisconsin hatte 2021 eine massive Datenpanne erlitten – betroffen waren rund 10,1 Millionen Schüler.

Was war passiert? Ein Hacker nutzte die Zugangsdaten eines ehemaligen Mitarbeiters, der das Unternehmen bereits drei Jahre zuvor verlassen hatte. Die FTC wirft Illuminate vor, elementare Sicherheitsmaßnahmen ignoriert zu haben: Alte Zugänge wurden nicht gesperrt, sensible Schülerdaten lagen unverschlüsselt als Klartext vor.

Offenbar sind viele Unternehmen nicht auf Angriffe wie bei Illuminate vorbereitet – veraltete Zugangsdaten und unverschlüsselte Dateien bieten Angreifern leichtes Spiel. Ein kostenloses Cyber-Security-E-Book zeigt praxisnahe Schutzmaßnahmen für kleine und mittlere Organisationen: sofort umsetzbare Checks für Zugangsrechte, Verschlüsselungs-Tests und pragmatische Anti-Phishing-Maßnahmen. Ideal für Geschäftsführer und IT-Verantwortliche, die teure Datenpannen verhindern wollen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

“Illuminate hat versprochen, persönliche Informationen über Kinder zu schützen – und ist gescheitert”, erklärte Christopher Mufarrige, Direktor der FTC-Verbraucherschutzbehörde. Die Daten umfassten Namen, Geburtsdaten und sogar medizinische Diagnosen.

Die Konsequenzen: Illuminate muss nicht benötigte Schülerdaten löschen und ein umfassendes Informationssicherheitsprogramm implementieren. Falsche Angaben zur Datensicherheit sind künftig untersagt.

23andMe zahlt 4,5 Millionen – mitten im Insolvenzverfahren

Der Gentest-Riese 23andMe hat sich am Mittwoch auf einen Vergleich in Höhe von umgerechnet rund 4,1 Millionen Euro geeinigt. Betroffen sind knapp 320.000 kanadische Kunden, deren Daten bei einer fünf Monate andauernden Datenpanne 2023 kompromittiert wurden.

Die Brisanz: Es geht um hochsensible Gesundheits-, Abstammungs- und Familieninformationen. Gleichzeitig läuft in den USA ein Insolvenzverfahren nach Chapter 11 – eine explosive Kombination für betroffene Verbraucher.

Wer konkrete Schäden nachweisen kann, erhält bis zu 2.300 Euro. Für alle anderen gibt es eine symbolische Pauschale von etwa 16 Euro. Eine Schuldanerkenntnis ist der Vergleich ausdrücklich nicht. 23andMe wehrt sich gegen die Vorwürfe, musste aber dennoch zur Kasse gebeten werden.

Britische Post Office blamiert sich erneut

Die britische Datenschutzbehörde ICO erteilte der Post Office am Mittwoch eine offizielle Rüge – wegen einer “vollständig vermeidbaren” Datenpanne. Das Unternehmen hatte versehentlich ein ungeschwärztes Dokument mit Adressen und Namen von 502 Postmitarbeitern online gestellt.

Die Betroffenen? Opfer des berüchtigten Horizon-IT-Skandals, die bereits jahrelang gelitten hatten. Das Dokument blieb zwischen April und Juni 2024 öffentlich abrufbar.

Obwohl eine Geldstrafe von über einer Million Pfund im Raum stand, entschied sich die ICO für eine Rüge – um öffentliche Gelder nicht von wichtigen Dienstleistungen abzuzweigen. Die Worte waren dennoch scharf: “Die Postmitarbeiter wurden erneut von der Post Office im Stich gelassen”, erklärte ICO-Ermittlungsleiterin Sally Anne Poole.

Mindpath Health: Millionenvergleich für 194.000 Patientendaten

Ein kalifornisches Gericht billigte vorab einen Vergleich über 3,2 Millionen Euro zwischen dem Gesundheitsdienstleister Mindpath Health und Betroffenen zweier E-Mail-Datenpannen aus dem Jahr 2022. Fast 194.000 Patientendaten waren betroffen.

Unberechtigte hatten auf Mitarbeiter-E-Mail-Konten zugegriffen und dabei Sozialversicherungsnummern, medizinische Diagnosen und Behandlungsinformationen erbeutet. Betroffene können bis zu 1.400 Euro für gewöhnliche Verluste geltend machen – bei Identitätsdiebstahl steigt die Summe auf bis zu 9.200 Euro.

Das Ende der Nachsicht

Die Ereignisse dieser Woche markieren einen Wendepunkt: Behörden verhängen nicht mehr nur Geldstrafen, sondern greifen direkt in die Betriebsabläufe ein. Die FTC-Auflage an Illuminate Education, unnötige Daten zu löschen, folgt dem Prinzip der Datenminimierung – was man nicht hat, kann auch nicht gestohlen werden.

“Die Botschaft ist eindeutig: Alte Zugangsdaten und unverschlüsselte Speicherung sind keine schlechten Praktiken mehr – sie sind rechtliche Risiken”, analysiert Branchenexpertin Sarah Jenkins.

Für 2026 erwarten Fachleute noch strengere Auflagen. Besonders Unternehmen, die mit Kinderdaten arbeiten, dürften unter verschärfte Beobachtung geraten. Der Fall 23andMe zeigt zudem, wie Insolvenzrecht und Datenschutz künftig häufiger kollidieren werden.

Für Verbraucher bleibt oft ein bitterer Nachgeschmack: Die Entschädigungen stehen in keinem Verhältnis zum Verlust der Privatsphäre. Für Unternehmen jedoch ist klar – die Ära der Rechenschaftspflicht hat begonnen.

PS: Viele Vorfälle betreffen besonders sensible Gesundheits- und Schülerdaten – genau hier zahlt sich Prävention aus. Das Gratis-E-Book liefert einen kompakten Maßnahmenkatalog: Zugangskontrolle, Verschlüsselung, Mitarbeiter-Schulungen und Checklisten für schnell umsetzbare Schutzmaßnahmen. Perfekt, wenn Sie kurzfristig Compliance- und Sicherheitslücken schließen wollen. Gratis Cyber-Security-Guide anfordern