France Travail: 5 Millionen Euro Strafe für massives Datenleck
01.02.2026 - 07:40:11
Die französische Arbeitsagentur France Travail muss wegen schwerer Datenschutzverstöße ein Bußgeld von fünf Millionen Euro zahlen. Grund ist ein Cyberangriff, der die Daten von Millionen Bürgern offenlegte.
Die Datenschutzbehörde CNIL verhängte die Strafe wegen gravierender Mängel bei der IT-Sicherheit. Der Angriff im Frühjahr 2024 kompromittierte persönliche Informationen von schätzungsweise 36,8 Millionen Menschen. Betroffen waren alle Personen, die in den vergangenen 20 Jahren bei der Agentur registriert waren.
Millionen Bürger in Gefahr
Die Hacker erbeuteten einen umfangreichen Datenschatz: vollständige Namen, Geburtsdaten, Sozialversicherungsnummern, E-Mail-Adressen und Telefonnummern. Die Angreifer nutzten eine Social-Engineering-Methode. Sie erschlichen sich Zugang über die Konten von Mitarbeitern einer Partnerorganisation.
Über diese gekaperten Konten drangen sie in die zentralen Systeme von France Travail ein. Die Agentur betont, dass keine Bankdaten oder Passwörter gestohlen wurden. Doch die Menge der erlangten Identitätsdaten ist enorm – und für Betrug bestens geeignet.
Viele Behörden und öffentliche Stellen unterschätzen ihre Cyber-Risiken – der Angriff auf France Travail zeigt, wie verheerend Social-Engineering und mangelhafte Zugriffssteuerung sein können. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt praxisnahe Schutzmaßnahmen (z. B. Multi-Faktor-Authentifizierung, strikteres Zugriffsmanagement und bessere Protokollierung) und liefert konkrete Schritte, mit denen IT-Verantwortliche Sicherheitslücken schnell schließen. Gratis Cyber-Security-Guide herunterladen
Systematische Sicherheitslücken
Die Untersuchung der CNIL offenbarte ein erschreckendes Bild. Die Sicherheitsvorkehrungen der Behörde waren völlig unzureichend. Ein zentraler Fehler: Die Authentifizierung für externe Partner war nicht robust genug.
Die Kontrollen versagten auf mehreren Ebenen. Die Protokollierung von Systemzugriffen war mangelhaft, sodass verdächtige Aktivitäten nicht erkannt wurden. Die Zugriffsrechte der Partner waren viel zu weit gefasst. Besonders kritisch: Das System erlaubte bis zu 50 fehlerhafte Passwort-Eingaben, bevor ein Konto gesperrt wurde.
Das bittere Fazit der CNIL: France Travail hatte diese Schwachstellen in eigenen Prüfungen bereits identifiziert – und nichts unternommen.
Warum die Strafe so hoch ausfällt
Die Höhe des Bußgelds von fünf Millionen Euro ist kein Zufall. Die CNIL begründet sie mit der „Missachtung wesentlicher Sicherheitsprinzipien“. Die enorme Anzahl Betroffener und die Sensibilität der Daten spielten eine Rolle.
Für öffentliche Einrichtungen sieht die DSGVO eine Obergrenze von zehn Millionen Euro vor. Die verhängte Strafe nähert sich dieser Grenze deutlich an. Sie soll abschreckend wirken – und verhältnismäßig sein.
Zusätzlich zur Geldstrafe muss France Travail nun sofortige Korrekturmaßnahmen umsetzen. Bei Verzögerung droht ein Zwangsgeld von 5.000 Euro pro Tag.
Ein beunruhigender Wiederholungsfall
Für France Travail ist es nicht der erste Datenskandal. Bereits im August 2023 war die Agentur von einem Leck betroffen. Damals wurden Daten von etwa zehn Millionen Menschen offengelegt.
Die Wiederholungstat wirft Fragen nach strukturellen Problemen auf. Die Behörde akzeptiert die Strafe und will nicht dagegen vorgehen. In einer Stellungnahme verspricht sie, ihre Cybersicherheit nun konsequent zu verbessern.
Der Fall sendet ein deutliches Signal an ganz Europa: Datenschutzbehörden nehmen die DSGVO ernst. Öffentliche Einrichtungen stehen besonders im Fokus – schließlich verwalten sie die sensibelsten Daten der Bürger.
Was nun passieren muss
Die Priorität für France Travail liegt klar auf der Umsetzung der CNIL-Auflagen. Dazu gehören robustere Passwortrichtlinien und die Einführung einer Multi-Faktor-Authentifizierung.
Der Skandal ist eine Warnung für den gesamten öffentlichen Sektor. Die finanziellen und reputativen Risiken durch nachlässige IT-Sicherheit sind immens. Parallel zu den regulatorischen Strafen laufen strafrechtliche Ermittlungen. Drei Verdächtige im Zusammenhang mit dem Angriff von 2024 wurden bereits festgenommen.
Die Botschaft ist eindeutig: Organisationen haften für den Schutz von Bürgerdaten – und wer sie angreift, muss mit strafrechtlicher Verfolgung rechnen.
PS: Wollen Sie verhindern, dass Phishing und Social‑Engineering Ihre Systeme kompromittieren? Der gleiche Cyber‑Security‑Report enthält einen klaren Handlungsplan zur Schulung von Mitarbeitern, zur schnellen Erkennung verdächtiger E‑Mails und für effektive Reaktionsprozesse nach einem Vorfall – ideal für Behörden, die Bußgelder und Reputationsschäden vermeiden möchten. Jetzt kostenlosen Cyber-Report anfordern
