DSGVO-Perspektive: Warum Hacker-Rechnungen auch ein Datenschutzproblem sind

Was die DSGVO wirklich schützt

Die Datenschutz-Grundverordnung (DSGVO) wurde geschaffen, um die personenbezogenen Daten von Menschen in der EU zu schützen. Personenbezogene Daten sind weit gefasst und umfassen alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.

Wenn Hacker in das E-Mail-System eines Unternehmens eindringen, um gefälschte Rechnungen einzuschleusen, geschieht das fast nie ohne Zugriff auf weitere Daten. Kommunikationsverläufe, Kontaktdaten oder Zahlungsinformationen enthalten in der Regel personenbezogene Angaben. Sobald diese kompromittiert sind, greift die DSGVO.

Hacker-Rechnungen als Einfallstor

Gefälschte Rechnungen sind selten Einzelfälle. Meist sind sie Teil größerer Social-Engineering-Angriffe. Hacker verschaffen sich über Phishing Zugang zu E-Mail-Konten und versenden dann scheinbar echte Rechnungen im Namen von Lieferanten oder Führungskräften.

So manipulieren sie nicht nur finanzielle Abläufe, sondern erhalten gleichzeitig Zugang zu Verträgen, interner Kommunikation und Geschäftsprozessen – oft mit personenbezogenen Daten von Kund:innen, Partner:innen oder Mitarbeiter:innen.

Reales Beispiel: Deutsches Unternehmen überweist an Betrüger

Im Sommer 2025 berichtete Security Insider von einem Fall, bei dem ein deutsches Unternehmen nach einem Hackerangriff Geld an Betrüger statt an die eigentliche Baufirma überwies (Quelle).

Der finanzielle Verlust war hoch, doch auch die datenschutzrechtliche Dimension war erheblich. Die Angreifer hatten Zugriff auf vertrauliche E-Mail-Verläufe, Projektdaten und möglicherweise personenbezogene Informationen von Mitarbeitenden und Subunternehmer:innen. Dieser Fall zeigt, wie eng finanzielle und datenschutzrechtliche Risiken miteinander verbunden sind.

Meldepflicht (72-Stunden-Regel)

Nach Artikel 33 DSGVO müssen Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden. Selbst wenn der Vorfall wie ein bloßes Rechnungsproblem aussieht, weist der kompromittierte E-Mail-Account auf einen möglichen Datenzugriff hin.

Haftung und Bußgelder

Die DSGVO sieht Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Kann ein Unternehmen nicht nachweisen, dass ausreichende Schutzmaßnahmen existieren, drohen empfindliche Sanktionen.

Dokumentationspflicht

Unternehmen sind verpflichtet, alle Sicherheitsvorfälle zu dokumentieren. Unvollständige Dokumentation verschärft die Lage und erschwert die Nachweisführung im Fall einer Prüfung.

Awareness-Trainings für Mitarbeitende

Mitarbeitende sind die erste Verteidigungslinie. Viele Betrugsrechnungen beginnen mit Phishing. Schulungen stellen sicher, dass Rechnungen geprüft werden, bevor Zahlungen freigegeben werden.

Zentrale Inhalte von Trainings:

• Erkennen von Phishing-Indikatoren in E-Mails
• Überprüfung von Bankdaten vor Überweisungen
• Melden verdächtiger Rechnungen an IT oder Compliance

Technische Sicherheitsmaßnahmen

• Multi-Faktor-Authentifizierung (MFA): verhindert unbefugten Zugriff auf E-Mail-Systeme
• Verschlüsselung von E-Mails und Dateien: schützt vor Auslesen abgefangener Daten
• Zero-Trust-Ansatz: strenge Zugriffskontrolle nach dem Prinzip der geringsten Recht
• SIEM- und Monitoring-Systeme: erkennen verdächtige Aktivitäten und Muster

Compliance-Tools und Monitoring

Moderne Compliance-Lösungen wie heyData helfen, Datenschutzprozesse mit der DSGVO in Einklang zu bringen. Sie unterstützen bei:

• Automatisierter Dokumentation
• Standardisierten Meldeprozessen
• Risikoanalysen und Gap-Assessments
• Kontinuierlichem Monitoring

Viele Unternehmen betrachten Hacking als reines Finanz- oder IT-Problem. Das ist ein gefährlicher Trugschluss. Gründe dafür:

• Finanzielle Schäden und Datenklau treten oft gleichzeitig auf
• Aufsichtsbehörden unterscheiden nicht zwischen „primären“ und „sekundären“ Datenlecks
• Kund:innen und Partner:innen erwarten Transparenz beim Umgang mit Daten

Wer Hacker-Rechnungen nicht auch als DSGVO-Problem sieht, riskiert rechtliche Konsequenzen und Vertrauensverlust.

Sind Hacker-Rechnungen automatisch ein DSGVO-Verstoß?
Nicht zwingend. Sobald jedoch personenbezogene Daten betroffen sind, handelt es sich um einen Datenschutzverstoß.

Muss ich eine gefälschte Rechnung der Aufsichtsbehörde melden?
Ja, wenn der Vorfall mit einem Datenzugriff oder Datenverlust verbunden ist.

Welche Frist gilt für die Meldung?
72 Stunden nach Bekanntwerden des Vorfalls.

Wie kann ich mein Unternehmen schützen?
Durch die Kombination aus starker IT-Sicherheit, kontinuierlichen Awareness-Trainings und Compliance-Maßnahmen.

Kann ich auch bestraft werden, wenn keine personenbezogenen Daten betroffen sind?
Nein. Werden jedoch später personenbezogene Daten nachgewiesen und die Meldung unterlassen, drohen umso höhere Strafen.

1. Zahlung sofort stoppen und Bank informieren
2. Den Vorfall analysieren – wurde auf personenbezogene Daten zugegriffen?
3. Innerhalb von 72 Stunden die Aufsichtsbehörde informieren, falls Daten betroffen sind
4. Betroffene Kund:innen oder Mitarbeitende benachrichtigen
5. Jeden Schritt sorgfältig dokumentieren
6. Sicherheitsmaßnahmen überprüfen und verbessern

Hacker-Rechnungen sind weit mehr als ein Ärgernis für die Buchhaltung. Sie sind ein Einfallstor für Datenschutzverletzungen und damit ein ernstes DSGVO-Problem. Unternehmen, die das unterschätzen, setzen sich hohen Bußgeldern, rechtlichen Risiken und einem Vertrauensverlust aus.

Die gute Nachricht: Mit einem Mix aus Mitarbeitenden Schulungen, technischen Schutzmaßnahmen und Compliance-Monitoring lässt sich das Risiko deutlich senken. Die DSGVO ist dabei nicht nur ein Pflichtprogramm, sondern ein Rahmen für mehr Resilienz gegen moderne Cyberangriffe.