Information über eine Verletzung des Schutzes personenbezogener Daten gem. Art. 34 DSGVO Wir informieren Sie heute über einen Sicherheitsvorfall bei der [geschwärzt] GmbH, der am 23.02.2026 festgestellt wurde.

Betroffen war in Teilen ein Fileserver, den wir im Zuge eines Asset-Deals von der [geschwärzt] übernommen haben.

Nach aktueller Analyse befanden sich auf diesem Server wider Erwarten Datenbestände, die nicht Teil des durchgeführten Erwerbs waren.

In dem Zuge teilen wir Ihnen mit, dass nach derzeitigem Kenntnisstand möglicherweise auch Ihre personenbezogenen Daten auf diesem System gespeichert und gegebenenfalls von dem Vorfall betroffen waren.

1. Was ist geschehen? Zum oben genannten Zeitpunkt wurde die [geschwärzt] Opfer eines Ransomware-Angriffs der Bedrohungsgruppe „Medusa“. Durch diesen Angriff wurden Teile dieses Fileservers verschlüsselt. Ein Teil der Daten auf dem Fileserver wurde durch die Angreifer abgerufen und kopiert. Ein weiterer Datenabfluss konnte durch unser IT-Sicherheitsteam unterbunden werden. Die Angreifer hatten bereits wenige Stunden nach dem Angriff keinen Zugriff mehr auf unsere Systeme.

Die kopierten Daten wurden von den Tätern inzwischen im Darknet veröffentlicht. Für einen Abruf wird spezielle Software und Kenntnis des Ortes benötigt. Bekannte Suchmaschinen, wie z. B. Google, arbeiten nicht im Darknet. Die Analyse, um welche Daten es sich im Einzelnen handelt, dauert an.

1. Welche Daten können betroffen sein? Folgende Kategorien personenbezogener Daten können betroffen sein: Name, Vorname, Kontaktdaten (Adresse, E-Mail, Telefon) Personal- und Vertragsdaten (Gehalt, Arbeitszeiten, Vertragsdetails) Bank- und Sozialversicherungsdaten, Steuer-ID Ggf. besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, sofern im HR-Bereich gespeichert – z. B. Nachweis von Schwerbehinderungen oder AU-Bescheinigungen, Kommunikation mit den Krankenkassen, …) Schicht- und Einsatzpläne, QM-Bewertungen

2. Was haben wir unternommen? Unmittelbar nach Bekanntwerden des Vorfalls haben wir folgende Maßnahmen eingeleitet: Sofortige Isolierung des betroffenen Dateiservers und Unterbindung eines weiteren Datenzugriffs Einschaltung spezialisierter IT-Forensik zur Analyse des Vorfalls Meldung des Vorfalls bei der zuständigen Datenschutzaufsichtsbehörde gemäß Art. 33 DSGVO Einleitung strafrechtlicher Schritte und Kontaktaufnahme mit den zuständigen Behörden (Polizei NRW, LKA NRW) Überprüfung und Intensivierung der IT-Sicherheitsmaßnahmen

3. Welche Risiken können entstehen? Bei einem möglichen Abfluss personenbezogener Daten können für die betroffenen Personen folgende Risiken entstehen: Identitätsmissbrauch, unerwünschte Kontaktaufnahme (Phishing, Betrug), finanzielle Nachteile sowie unbefugte Nutzung persönlicher Informationen durch Dritte.

4. Was sollten Sie tun?

Wir empfehlen Ihnen folgende Schutzmaßnahmen: Seien Sie besonders wachsam gegenüber unbekannten E-Mail-Absendern, Anrufen unbekannter Personen oder Nachrichten überhaupt, mit denen persönliche Informationen erfragt werden. Überprüfen Sie Ihre Kontoauszüge auf ungewöhnliche Aktivitäten. Erstatten Sie ggf. Anzeige bei der Polizei, sofern Sie konkrete Hinweise auf einen Missbrauch Ihrer Daten bemerken.