Von /

10.000 Euro für Zugangsdaten per E-Mail: Was Sie aus dem „Excom-Bußgeld“ über die DSGVO lernen können

Warnung vor unsicheren Anmeldedaten Zugangsdaten per E-Mail

Ein Kunde erhält eine E-Mail seines Telekommunikationsanbieters mit neuen Zugangsdaten zum Kundenportal – Benutzername und Passwort gleich mitgeliefert, im Klartext, ohne besonderen Schutz. Genau daraus wurde ein Datenschutzfall. Nicht, weil nachweislich ein Angreifer zugriff. Sondern weil die Organisation hinter diesem Versand erkennbar keinen tragfähigen Sicherheitsprozess hatte. Die spanische Datenschutzbehörde AEPD hat daraus ein Bußgeld gemacht – und für Unternehmen eine ziemlich wichtige Lektion.

Inhaltsverzeichnis
  1. Worum es in dem Fall ging
  2. Der eigentliche Fehler: kein sicherer Prozess für etwas, das hochsensibel ist
  3. „War nur ein menschlicher Fehler“ – genau diese Verteidigung ist oft das Warnsignal
  4. Warum der Fall für weit mehr Unternehmen relevant ist, als ihnen lieb sein dürfte
  5. E-Mail ist kein sicherer Zustellkanal für Geheimnisse
  6. Was Unternehmen daraus lernen sollten
  7. Praxis-Check: Fünf Fragen, die Sie jetzt intern stellen sollten
  8. Wie sich das Risiko konkret senken lässt
  9. Fazit
  10. FAQ

Worum es in dem Fall ging

Betroffen war FREE TECHNOLOGIES EXCOM, S.L. Die Beschwerde landete im April 2024 bei der spanischen Datenschutzaufsicht AEPD. Der Beschwerdeführer hatte nach eigenen Angaben eine E-Mail zur Aktualisierung seines Kundenbereichs erhalten. Darin standen seine Zugangsdaten – also Benutzername und Passwort – offen im Text. Zudem sei das Passwort vom Unternehmen ohne vorherige Ankündigung geändert worden. Über das Kundenportal waren nach Darstellung des Betroffenen unter anderem Name, Anschrift, DNI, Telefon, E-Mail, Vertragsdaten, Rechnungen, Einzelverbindungs- und Verbrauchsdaten zugänglich. Eine Zwei-Faktor-Authentifizierung gab es nach seiner Schilderung nicht. Die AEPD sah darin einen Verstoß gegen die Pflicht zu angemessenen Sicherheitsmaßnahmen und verhängte am Ende ein Bußgeld von 10.000 Euro wegen eines Verstoßes gegen Art. 32 DSGVO.

Das Unternehmen verteidigte sich damit, es habe sich um einen einmaligen menschlichen Fehler gehandelt. Man habe schnell reagiert, Passwörter zurückgesetzt, den Betroffenen kontaktiert und keine unbefugten Zugriffe oder Datenabflüsse festgestellt. Die Behörde ließ das nicht gelten. Für sie war entscheidend, ob die Sicherheitsmaßnahmen zum Zeitpunkt des Vorfalls angemessen waren – nicht, ob man danach ordentlich aufgeräumt hat.

Der eigentliche Fehler: kein sicherer Prozess für etwas, das hochsensibel ist

Genau hier wird der Fall interessant. Wer nur auf den Verstoß schaut, sieht: Passwort per E-Mail verschickt, also Sicherheitsmangel. Wer auf die Praxis schaut, erkennt mehr: Das Unternehmen hatte offenbar keinen belastbaren, sicheren Standardprozess dafür, wie Zugangsdaten erstellt, geändert, zugestellt und aktiviert werden.

Das ist der Fehler hinter dem Fehler.

Denn Passwörter sind keine normale Kundenkommunikation. Sie sind Authentifizierungsgeheimnisse. Wer sie wie irgendeine Serviceinformation behandelt, hat das Risiko schon gedanklich falsch eingeordnet. Die AEPD formuliert das im Kern sehr klar: Der Versand von Zugangsdaten per E-Mail ist schon für sich genommen sicherheitsrelevant, weil dadurch ein Authentifizierungselement unnötig offengelegt wird.

Besonders lehrreich ist dabei, was die Behörde nicht verlangt hat. Sie verlangte keinen nachgewiesenen Missbrauch. Keinen belegten Fremdzugriff. Keinen konkret eingetretenen Schaden. Der Punkt war schlichter – und für Unternehmen unbequemer: Wenn ein Prozess so gebaut ist, dass ein Passwort im Klartext per E-Mail versendet wird, dann ist die Maßnahme bereits unangemessen. Das Problem liegt also nicht erst beim eingetretenen Schaden, sondern schon bei der riskanten Konstruktion des Vorgangs.

„War nur ein menschlicher Fehler“ – genau diese Verteidigung ist oft das Warnsignal

In Datenschutz- und IT-Sicherheitsfällen hört man häufig denselben Satz: Das war ein Versehen. Ein Einzelfall. Ein Mitarbeiterfehler. Genau diese Erzählung hat FREE TECHNOLOGIES ebenfalls vorgebracht. Die AEPD hat sie zurückgewiesen – und das aus gutem Grund. Denn wo ein einzelner manueller Handgriff ein Passwort im Klartext an den Kunden schicken kann, liegt meist kein reines Personenproblem vor, sondern ein Organisationsproblem.

Anders gesagt: Gute Sicherheitsprozesse sind gerade dafür da, menschliche Fehler abzufangen. Wenn sie das nicht tun, ist der Fehler nicht nur menschlich, sondern systemisch.

Das ist für die Praxis wichtig, weil viele Unternehmen menschliche Fehler immer noch als Gegenargument verstehen. Tatsächlich sind sie oft das Gegenteil: ein Hinweis darauf, dass Rollen, Freigaben, Standardabläufe oder technische Leitplanken fehlen. Wer Zugangsdaten manuell versenden kann, ohne dass das System den Vorgang verhindert oder absichert, arbeitet nicht mit einem robusten Sicherheitsdesign, sondern mit Vertrauen in situative Aufmerksamkeit. Das ist für gewöhnliche Kundenkommunikation vielleicht noch vertretbar. Für Authentifizierungsdaten ist es das nicht.

Bemerkenswert ist in diesem Fall noch etwas anderes: Nach der Beschwerde entschuldigte sich das Unternehmen zwar und erklärte, es habe den Prozess geändert. Zugleich heißt es in der Akte, man habe dem Betroffenen die Zugangsdaten erneut geschickt, um den neuen Ablauf zu zeigen. Auch das wirkt weniger wie eine sauber verstandene Sicherheitslogik und mehr wie ein eingeübtes Muster: Zugangsdaten werden eben versendet. Genau dieses Denkmuster macht Fälle wie diesen so anschlussfähig für den Unternehmensalltag.

Warum der Fall für weit mehr Unternehmen relevant ist, als ihnen lieb sein dürfte

Auf den ersten Blick wirkt das speziell: Telekommunikationsanbieter, Kundenportal, Passwortversand. In Wahrheit ist das Alltag.

Solche Risiken entstehen überall dort, wo Unternehmen digitale Zugänge für andere verwalten: in Kundenportalen, Mitarbeiterzugängen, Händler- oder Partnerplattformen, HR-Systemen, Zeiterfassung, Bewerbertools, Ticketsystemen, Service-Apps oder Self-Service-Bereichen. Der gemeinsame Nenner lautet nicht „Telekommunikation“, sondern: jemand im Unternehmen darf Anmeldedaten initial bereitstellen oder zurücksetzen.

Genau an dieser Stelle kippen viele Organisationen in unsaubere Routinen. Dann wird „ausnahmsweise“ ein Initialpasswort geschickt. Dann wird ein Passwort zurückgesetzt und am Telefon oder per Mail mitgeteilt. Dann wird aus Komfortgründen dieselbe Kommunikation genutzt, die auch für Rechnungen, Vertragsinfos oder Newsletter funktioniert. Und dann wundert man sich, warum die Aufsicht das nicht als bedauerlichen Einzelfall, sondern als unzureichende technische und organisatorische Maßnahme wertet.

Der Fall zeigt außerdem, wie eng Datenschutz und IT-Sicherheit in der Praxis zusammenhängen. Es ging hier nicht nur um Vertraulichkeit im abstrakten Sinn. Zugangsdaten schützen den Weg zu einem ganzen Datenbestand. Wer ein Passwort unsicher behandelt, gefährdet nicht nur das Passwort, sondern mittelbar alle Daten hinter dem Login. Im konkreten Fall betraf das eben nicht nur Stammdaten, sondern auch Vertrags-, Rechnungs- und Nutzungsdaten.

E-Mail ist kein sicherer Zustellkanal für Geheimnisse

Ein besonders nützlicher Gedanke aus der Entscheidung: Die AEPD verweist auf ein CCN-CERT-Dokument zur E-Mail-Sicherheit und macht deutlich, dass klassische E-Mail-Kommunikation strukturelle Schwächen hat. Selbst wenn Transportverschlüsselung eingesetzt wird, bedeutet das nicht, dass E-Mail ein geeigneter Kanal für die Übermittlung von Zugangsdaten im Klartext ist. Server entlang des Weges können Inhalte verarbeiten, und technische Schutzmechanismen lösen nicht das Grundproblem, dass hier ein Authentifizierungsgeheimnis unnötig offengelegt wird.

Das ist ein wichtiger Realitätscheck für Unternehmen, die Sicherheit mit „wir haben TLS“ verwechseln. TLS ist sinnvoll. Aber TLS macht aus E-Mail keinen sicheren Passwortbriefkasten.

Was Unternehmen daraus lernen sollten

  • Die erste Lehre lautet: Ein sicherer Anmeldeprozess ist kein Detail der IT, sondern eine Managementfrage. Sobald sensible Kunden- oder Beschäftigtendaten hinter einem Login liegen, muss der Weg zu diesem Login sauber designt sein.
  • Die zweite Lehre: Reaktion ersetzt Prävention nicht. Passwörter zurücksetzen, Betroffene kontaktieren und Prozesse nachschärfen ist richtig, aber es heilt nicht die Bewertung des Vorfalls. Die Aufsicht prüft, ob die Maßnahme vor dem Vorfall angemessen war. Genau das hat die AEPD hier ausdrücklich betont.
  • Die dritte Lehre: „Nur ein Betroffener“ schützt nicht zuverlässig vor Sanktionen. In diesem Fall war nach den Feststellungen der Behörde nur ein einzelner Betroffener unmittelbar betroffen. Trotzdem gab es ein Bußgeld. Das signalisiert klar: Auch singuläre Vorfälle können sanktionswürdig sein, wenn sie ein strukturelles Sicherheitsdefizit sichtbar machen.
  • Und die vierte Lehre ist vielleicht die wichtigste: Unternehmen sollten Sicherheitsfragen nicht nur danach bewerten, ob etwas bisher gutgegangen ist. Die relevante Frage ist, ob der Prozess auch dann tragfähig wäre, wenn etwas schiefgeht.

Praxis-Check: Fünf Fragen, die Sie jetzt intern stellen sollten

  1. Wie werden Erstzugänge und Passwort-Resets bei uns tatsächlich abgewickelt?
    Nicht auf dem Papier, sondern im Alltag. Gibt es manuelle Ausnahmen, E-Mail-Routinen oder informelle Abkürzungen?
  2. Wer darf Zugangsdaten erstellen, ändern oder versenden?
    Sind Rollen, Berechtigungen und Freigaben sauber geregelt oder hängt zu viel an Einzelpersonen im Kundenservice oder in der IT?
  3. Verschicken wir irgendwo noch Passwörter, Initialkennwörter oder vergleichbare Geheimnisse per E-Mail oder Ticket?
    Auch „nur intern“, „nur einmalig“ oder „nur auf Anfrage“ sollte hier ein Alarmwort sein.
  4. Ist unser Login-Prozess so gebaut, dass das System sichere Abläufe erzwingt?
    Etwa durch Einmal-Links, Aktivierungsprozesse, erzwungene Passwortvergabe durch den Nutzer, Ablaufzeiten und zusätzliche Schutzmechanismen.
  5. Haben wir den Prozess als risikobehaftete Verarbeitung überhaupt organisatorisch erfasst?
    Also im Verzeichnis der Verarbeitungstätigkeiten, in internen Sicherheitsrichtlinien, in Arbeitsanweisungen und in der Schulung der beteiligten Fachbereiche.

Wie sich das Risiko konkret senken lässt

Die gute Nachricht ist: Das Risiko lässt sich recht pragmatisch reduzieren. Unternehmen müssen dafür weder jedes Kundensystem neu bauen noch jede Kommunikation verkomplizieren. Sie brauchen aber einen klaren Standard.

Ein sauberer Weg ist, keine Passwörter mehr zu versenden, sondern nur noch sichere Aktivierungs- oder Reset-Mechanismen zu nutzen: Einmal-Links mit kurzer Gültigkeit, erzwungene Vergabe eines neuen Passworts durch den Nutzer selbst, nachvollziehbare Protokollierung, begrenzte Berechtigungen für Service-Mitarbeitende und – wo sinnvoll – zusätzliche Faktoren bei besonders schützenswerten Zugängen.

Ebenso wichtig ist die organisatorische Ebene. Der Prozess gehört in klare Arbeitsanweisungen. Kundenservice, Vertrieb, IT und Fachbereiche müssen wissen, was erlaubt ist und vor allem, was nicht. Wer Zugangsdaten verwaltet, arbeitet an einem sicherheitskritischen Punkt und sollte auch so geführt werden. Ein „Das machen wir schnell per Mail“ darf kein zulässiger Ausweg sein.

Sinnvoll ist außerdem ein kurzer Soll-Ist-Abgleich mit den eigenen TOM: Passt der tatsächliche Login- und Reset-Prozess zu dem Sicherheitsniveau, das man sich in Richtlinien, Audits oder Datenschutzdokumenten zuschreibt? Wenn nicht, liegt das Risiko oft weniger in fehlender Technik als in der Lücke zwischen Konzept und Alltag.

Fazit

Der Fall aus Spanien ist lehrreich, weil er ein verbreitetes Missverständnis sichtbar macht: Datenschutzverstöße beginnen nicht erst mit dem Datenabfluss. Sie beginnen oft schon dort, wo ein unsauberer Prozess sensible Vorgänge zur Gewohnheit macht. FREE TECHNOLOGIES wurde nicht bestraft, weil ein großer Schaden nachgewiesen war, sondern weil der Umgang mit Zugangsdaten organisatorisch nicht belastbar genug war. Genau das ist die eigentliche Botschaft des Falls: Nicht der einzelne Mitarbeiterfehler ist das Hauptproblem – sondern ein Verfahren, das von vornherein zu sehr auf Glück setzt.

FAQ

Häufig gestellte Fragen

Dürfen Unternehmen Passwörter per E-Mail versenden?

Das ist jedenfalls sehr kritisch. E-Mail ist grundsätzlich kein sicherer Kanal für die Übermittlung von Authentifizierungsgeheimnissen. Besser sind sichere Aktivierungs- oder Reset-Verfahren.

Warum sind Zugangsdaten datenschutzrechtlich so sensibel?

Weil sie den Schlüssel zu weiteren personenbezogenen Daten bilden. Wer Zugangsdaten kompromittiert, gefährdet häufig nicht nur das Passwort, sondern den gesamten geschützten Datenbereich dahinter.

Reicht es aus, wenn beim Versand nur „nichts passiert“ ist?

Nein. Datenschutzrechtlich kommt es nicht erst auf einen nachgewiesenen Missbrauch an. Schon ein unsicher gestalteter Prozess kann problematisch sein.

Ist ein menschlicher Fehler automatisch ein Ausnahmefall?

Nicht unbedingt. Wenn ein einzelner Fehler ohne Weiteres zu einer Sicherheitslücke führen kann, spricht das oft für Schwächen im Prozess oder in den technischen Schutzmaßnahmen.

Welche sichere Alternative gibt es zum Passwortversand per E-Mail?

Üblich sind Einmal-Links, zeitlich begrenzte Aktivierungslinks, Self-Service-Reset-Prozesse und die verpflichtende Vergabe eines neuen Passworts durch die betroffene Person selbst.

Genügt Transportverschlüsselung bei E-Mails als Schutzmaßnahme?

Nein, das allein reicht regelmäßig nicht aus. Transportverschlüsselung verbessert die Sicherheit, macht E-Mail aber nicht zu einem geeigneten Kanal für die Übermittlung von Geheimnissen im Klartext.

Wann sind zusätzliche Schutzmaßnahmen besonders wichtig?

Vor allem dann, wenn über ein Konto sensible oder umfangreiche personenbezogene Daten abrufbar sind. Je höher das Risiko, desto höher die Anforderungen an Authentifizierung und Absicherung.

Welche Rolle spielt Art. 32 DSGVO in solchen Konstellationen?

Art. 32 DSGVO verlangt angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten risikogerecht zu schützen. Dazu gehören auch sichere Verfahren rund um Anmeldung, Passwortvergabe und Passwort-Reset.

Muss jedes Unternehmen seine Login-Prozesse dokumentieren?

Jedenfalls sollte nachvollziehbar geregelt sein, wie Zugänge eingerichtet, geändert, zurückgesetzt und geschützt werden. Gerade bei sicherheitsrelevanten Prozessen sind klare Zuständigkeiten und dokumentierte Abläufe wichtig.

Ist ein einzelner Vorfall schon datenschutzrechtlich relevant?

Ja. Auch ein einzelner Vorfall kann relevant sein, wenn er zeigt, dass Sicherheitsmaßnahmen oder Prozesse nicht angemessen ausgestaltet sind.

Warum ist der Prozess oft wichtiger als der Einzelfehler?

Weil Datenschutz und Informationssicherheit nicht auf fehlerfreies Verhalten einzelner Personen setzen dürfen. Gute Prozesse sind so gestaltet, dass sie Fehler abfangen oder ihre Folgen begrenzen.

Was sollten Unternehmen organisatorisch besonders beachten?

Klare Rollen, definierte Freigaben, verbindliche Arbeitsanweisungen, Schulungen und technisch erzwungene sichere Standards sind meist wichtiger als bloße Appelle an Sorgfalt.

Warenkorb

Alle Preise inkl. der gesetzlichen MwSt.

Nach oben scrollen
Cookie Consent mit Real Cookie Banner