im Rahmen unserer Bemühungen um Datenschutz-Compliance und Transparenz möchten wir Sie über einen Sicherheitsvorfall informieren, der möglicherweise auch Ihre personenbezogenen Daten betrifft. Wir nehmen den Schutz Ihrer Daten sehr ernst und möchten Ihnen alle wesentlichen In-formationen zu diesem Vorfall sowie zu unseren Maßnahmen mitteilen.
Was ist passiert?
Am 14.03.2026 wurde ein Sicherheitsvorfall festgestellt, der durch den Diebstahl von zwei dienstlich genutzten Laptops aus unseren Büroräumlichkeiten ausgelöst wurde. Die Geräte wurden in der Nacht entwendet. Es kann nicht ausgeschlossen werden, dass Dritte unbefugten Zugriff auf die auf den Geräten gespeicherten Daten erlangen konnten. Welche Daten sind betroffen?
Nach unseren bisherigen Untersuchungen können sich auf den betroffenen Geräten personenbezogene Daten befunden haben, insbesondere Kontaktdaten, Namen, E-Mail-Adressen, Adressen sowie weitere Daten im Zusammenhang mit Klienten- und Personaldaten. Aufgrund des Geräteverlusts ist eine eindeutige Zuordnung der konkret betroffenen Daten zu einzelnen Personen derzeit nicht möglich. Es kann daher nicht ausgeschlossen werden, dass auch Ihre personenbezogenen Daten betroffen sind.
Sensible Daten wie Passwörter oder Zahlungsinformationen waren nach aktuellem Kenntnisstand nicht unmittelbar auf den Geräten gespeichert. Dennoch kann nicht ausgeschlossen werden, dass vorhandene Daten dazu genutzt werden könnten, sich als unsere Organisation auszugeben oder gezielte Täuschungsversuche durchzuführen.
Welche Maßnahmen haben wir ergriffen?
Wir haben unverzüglich reagiert, indem die mit den Geräten verknüpften Benutzerkonten gesperrt, Zugangsdaten geändert und bestehende Sitzungen beendet wurden. Sofern technisch möglich, wurden Maßnahmen zur Fernsperrung bzw. Fernlöschung der Geräte eingeleitet. Eine umfassende Überprüfung unserer IT-Systeme wurde durchgeführt, um sicherzustellen, dass keine weiteren Systeme betroffen sind.
Der Vorfall wurde gemäß Art. 33 DSGVO unverzüglich der zuständigen Datenschutzaufsichtsbehörde gemeldet. Wir arbeiten eng mit IT-Sicherheitsexperten und unseren Datenschutzbeauftragten zusammen, um die genauen Umstände des Vorfalls zu klären und ähnliche Vorfälle in Zukunft zu verhindern. Zusätzlich werden unsere internen Sicherheitsrichtlinien überprüft und organisatorische Maßnahmen weiterentwickelt.
Diese Information erfolgt nicht unmittelbar nach Bekanntwerden des Vorfalls, da zum Zeitpunkt der ersten Feststellung zunächst keine ausreichenden Erkenntnisse über den konkreten Umfang der betroffenen Daten sowie die tatsächliche Betroffenheit einzelner Personen vorlagen.
Erst im Rahmen der nachfolgenden technischen und organisatorischen Aufklärung konnten die betroffenen Datenkategorien sowie die möglichen Risiken für betroffene Personen weiter konkretisiert werden. Auf dieser Grundlage wurde eine erneute datenschutzrechtliche Bewertung vorgenommen.
Da ein Risiko für die Rechte und Freiheiten betroffener Personen nicht ausgeschlossen werden kann, erfolgt die Information vorsorglich, sobald eine belastbare Einschätzung möglich war.
Welche Folgen sind möglich?
Es besteht das Risiko, dass die auf den Geräten gespeicherten Daten durch unbefugte Dritte eingesehen oder verwendet werden könnten. Zudem könnten Dritte versuchen, sich unter dem Namen unserer Organisation auszugeben, um Empfänger zu täuschen. Obwohl nach aktuellem Kenntnisstand keine besonders sensiblen Zugangsdaten betroffen sind, können mögliche missbräuchliche Verwendungen der Daten nicht vollständig ausgeschlossen werden.
Empfehlungen für betroffene Personen
Um mögliche Risiken zu minimieren, empfehlen wir Ihnen:
• Überprüfen Sie Ihre elektronische Kommunikation sorgfältig auf verdächtige Nachrichten, insbesondere solche mit unbekannten Links oder Anhängen.
• Öffnen Sie keine Links oder Anhänge in E-Mails, deren Herkunft oder Inhalt Ihnen verdächtig erscheint.
• Sollten Sie eine verdächtige Nachricht erhalten haben, die scheinbar von uns stammt, wenden Sie sich bitte an uns, damit wir diese analysieren können.
• Achten Sie allgemein auf ungewöhnliche Kontaktaufnahmen oder Aufforderungen zur Preisgabe von Daten.
Falls Sie weitere Informationen zu Sicherheitsmaßnahmen benötigen, empfehlen wir die Webseiten des Bundesamts für Sicherheit in der Informationstechnik unter https://www.bsi.bund.de sowie des Bundeskriminalamts unter https://www.bka.de.
Kontakt für Rückfragen
Falls Sie Fragen zu diesem Vorfall haben oder Unterstützung benötigen, steht Ihnen unser Daten-schutzbeauftragter gerne zur Verfügung:
GINDAT GmbH
Gesellschaft für IT-Normierung und Datenschutz
info@gindat.de
+49 (2191) 909 – 430
Wir bedauern diesen Vorfall zutiefst und versichern Ihnen, dass wir alle notwendigen Maßnahmen ergreifen, um die Sicherheit Ihrer Daten zu gewährleisten und vergleichbare Vorfälle in Zukunft zu verhindern.
Mit freundlichen Grüßen
Silke Gaube
Geschäftsführerin