Phishing-Vorfälle sind längst nicht mehr nur ein Reputationsrisiko. Datenschutz-Aufsichtsbehörden in Deutschland und der EU prüfen nach Datenpannen systematisch, ob ein Unternehmen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO getroffen hat. Wer hier Lücken hat, riskiert Bußgelder — die in Einzelfällen die Millionengrenze überschreiten.
Das Muster, mit dem Aufsichtsbehörden die Vorfälle bewerten, ist auffallend einheitlich. Wer es kennt, kann sich strukturell besser absichern.
Drei wiederkehrende Vorwürfe der Aufsichtsbehörden
1. Unzureichende technische Maßnahmen
Die zentrale Frage der Behörde: War am Login-Moment eine zweite Warn- und Audit-Schicht aktiv? Gab es eine Domain-Validierung im Browser? Wurde MFA für privilegierte Konten erzwungen? Lag ein dokumentiertes Konzept zum Schutz vor Credential-Phishing vor?
Wenn die Antwort auf alle Fragen „nein“ lautet, ist die Verteidigungsposition schwierig. Eine Browser-Warnschicht wie Phishgate ist hier ein wichtiger Baustein — gerade weil sie genau dort ansetzt, wo der typische Phishing-Schaden entsteht.
2. Fehlende Awareness-Nachweise
Schulungen müssen dokumentiert sein: Datum, Teilnehmerinnen und Teilnehmer, Inhalte, Lernzielkontrolle. Fehlt der Nachweis, fehlt im Verfahren der Verteidigungspunkt. Aufsichtsbehörden bewerten regelmäßige, dokumentierte Phishing-Schulungen positiv — sporadische E-Learnings ohne Teilnahmenachweis dagegen kaum.
Hier kommt unser ergänzendes Awareness-Schulungs-Angebot ins Spiel: Wir führen direkt vor Ort in Ihrem Unternehmen Schulungen durch, dokumentieren Teilnahmen revisionssicher und stellen passende Bescheinigungen aus.
3. Verspätete Meldung an die Aufsicht
Die 72-Stunden-Frist nach Art. 33 DSGVO wird in Stress-Situationen häufig verpasst. Allein das verdoppelt das Bußgeld in vielen dokumentierten Fällen. Die Frist beginnt mit der Kenntnisnahme — nicht mit der vollständigen Aufklärung.
Was die Verteidigung deutlich erleichtert
Aus den dokumentierten Fällen lassen sich vier Maßnahmen ableiten, die in praktisch jeder Verteidigung schwer wogen:
- Browser-seitige Warnschicht mit Audit-Log. Die Behörde sieht: Es gab einen technischen Schutz am Login, und es gibt eine nachvollziehbare Dokumentation, was passiert ist.
- Awareness-Schulungen mit dokumentierter Teilnahme — mindestens jährlich, idealerweise rollenbasiert (Buchhaltung, IT, Geschäftsführung intensiver).
- Externer oder interner Datenschutzbeauftragter mit klar definierter Eskalationsroute. Ein DSB ist nicht nur Pflicht ab gewissen Schwellen — er ist im Bußgeldverfahren ein zentraler Glaubwürdigkeitsanker.
- Incident-Response-Playbook für Phishing-Vorfälle, das die 72-Stunden-Frist organisatorisch sicherstellt — inkl. konkreter Verantwortlichkeiten und Telefonnummern.
Wie Phishgate die Beweisführung unterstützt
Phishgate liefert ein zentrales Audit-Log für Warnungen, Blockierungen und Meldungen direkt aus dem Browser. Im Bußgeldverfahren ist dieses Log oft das eine Dokument, das den Unterschied zwischen fahrlässig und angemessene technische Maßnahmen macht.
Konkret zeigt das Log:
- Wann wurde welche Warnung wegen welcher Domain ausgelöst?
- Wie hat der Mitarbeitende reagiert (übersprungen, abgebrochen, Zugriff angefragt, gemeldet)?
- Welche Domains wurden auf welcher Basis später freigegeben?
- Welche Vorfälle wurden ans Threat-Team eskaliert?
Diese strukturierten Daten ergänzen Awareness-Trainings-Nachweise und machen das gesamte Sicherheitskonzept im Audit darstellbar.
Datenschutzbeauftragter als Teil des Konzepts
Ergänzend zur Browser-Warnschicht und zu den Awareness-Schulungen bieten wir einen externen Datenschutzbeauftragten an. So entsteht ein durchgehendes Konzept aus Technik, Schulung und Compliance — mit klarer Verantwortlichkeit und nachvollziehbarer Eskalationsroute.
Fazit
Aufsichtsbehörden ahnden Phishing-bedingte Datenpannen zunehmend konsequent. Wer als Unternehmen Browser-Warnschicht, dokumentierte Schulungen und einen DSB als Teil eines abgestimmten Konzepts vorweisen kann, ist im Bußgeldverfahren in einer deutlich besseren Position als Unternehmen, die nur reaktiv handeln. Phishgate ist genau auf diese Kombination ausgelegt — Technik plus Awareness plus Compliance.