Personaldienstleister verliert 28.000 Bewerberdaten: Fehlkonfigurierter Cloud-Speicher wird zum Albtraum
Ein Personaldienstleister lässt 28.000 Bewerberdatensätze monatelang auf einem öffentlich zugänglichen Cloud-Speicher liegen. Die Folgen sind verheerend.
Fehlkonfiguration
€2.1 Mio.
€750.000 DSGVO-Bußgeld
Der Vorfall
Am 22. Juli 2025 postete der Sicherheitsforscher Dr. Tobias Kern einen Thread auf Mastodon, der innerhalb von Stunden viral ging:
„Ein deutscher Personaldienstleister hat 28.347 vollständige Bewerberdatensätze auf einem öffentlich zugänglichen S3-Bucket liegen. Lebensläufe, Zeugnisse, Gehaltsabrechnungen, Personalausweiskopien, Gesundheitszeugnisse, Führungszeugnisse. Seit mindestens vier Monaten öffentlich erreichbar. Ich habe das Unternehmen vor drei Wochen informiert — keine Reaktion."
Das Unternehmen war die TalentBridge Personalservice GmbH aus Düsseldorf. 85 Mitarbeiter, 2.400 aktive Leiharbeiter, Jahresumsatz 34 Millionen Euro. TalentBridge vermittelte Personal in der Logistik, im Gesundheitswesen und in der Produktion — Branchen, in denen Bewerber routinemäßig sensible Dokumente einreichen müssen.
Die Geschichte hinter der Katastrophe begann im März 2025. TalentBridge hatte sein Bewerbermanagementsystem (BMS) von einer On-Premise-Lösung in die Cloud migriert. Der beauftragte IT-Dienstleister — ein Zwei-Mann-Unternehmen aus Köln — konfigurierte einen Amazon S3-Bucket als Speicher für die hochgeladenen Bewerbungsunterlagen. Durch einen Konfigurationsfehler wurde der Bucket als „öffentlich" eingestellt. Keine Authentifizierung, keine Verschlüsselung, keine Zugriffskontrolle. Jeder, der die URL kannte, konnte sämtliche Dateien herunterladen.
Die URL war nicht besonders schwer zu finden. Der Bucket-Name folgte einem vorhersehbaren Muster: „talentbridge-bewerbungen-prod". Automatisierte Scanner, die das Internet nach offenen S3-Buckets durchsuchen, hatten ihn vermutlich innerhalb von Tagen nach der Fehlkonfiguration gefunden.
Was auf dem Bucket lag, war eine Goldmine für Identitätsdiebe:
- 28.347 Lebensläufe mit vollständigen persönlichen Daten
- 19.234 Personalausweiskopien — vorne und hinten
- 14.891 Gehaltsabrechnungen mit Arbeitgeber, Bruttolohn und Bankverbindung
- 8.456 Arbeitszeugnisse mit detaillierten Leistungsbeurteilungen
- 3.212 Gesundheitszeugnisse — besonders sensible Daten nach Art. 9 DSGVO
- 1.847 Führungszeugnisse mit vollständiger Registerauskunft
- 967 Aufenthaltstitel und Arbeitserlaubnisse von ausländischen Bewerbern
Vier Monate lang war all das frei zugänglich. Vier Monate.
Die Eskalation
22. Juli 2025 (Tag des Mastodon-Posts): Der Sicherheitsforscher Dr. Kern hatte TalentBridge am 1. Juli per E-Mail, Einschreiben und Fax kontaktiert. Keine Reaktion. Am 15. Juli hatte er den Vorfall zusätzlich dem CERT-Bund (Computer Emergency Response Team des BSI) gemeldet. Erst nachdem sein Mastodon-Post Tausende Reaktionen ausgelöst hatte, reagierte TalentBridge — mit einer Pressemitteilung, die alles noch schlimmer machte.
Die Pressemitteilung behauptete: „Es handelt sich um einen begrenzten Vorfall, der nur eine geringe Anzahl von Datensätzen betrifft. Wir haben den Zugang umgehend gesperrt." In Wahrheit waren es 28.347 Datensätze, und „umgehend" bedeutete: dreieinhalb Wochen nach der ersten Benachrichtigung durch den Sicherheitsforscher.
Tag 2–5: Die Presse deckte die Diskrepanz zwischen Pressemitteilung und Realität auf. Bewerber, die ihre Namen im Mastodon-Thread oder in Medienberichten wiedererkannten, begannen Beschwerde bei der Datenschutzbehörde einzureichen. Die nordrhein-westfälische Landesbeauftragte für Datenschutz eröffnete sofort ein Verfahren.
Woche 2–3: Die Situation eskalierte dramatisch, als bekannt wurde, dass unter den betroffenen Bewerbern auch Opfer häuslicher Gewalt waren, deren aktuelle Adresse in den Lebensläufen stand, obwohl sie eine Auskunftssperre beim Einwohnermeldeamt hatten. Zwei Betroffene mussten umziehen. Die Kosten übernahm TalentBridge — widerwillig und erst nach Medienberichten.
Monat 2: Die forensische Analyse ergab, dass der Bucket mindestens 1.340 Mal von 89 verschiedenen IP-Adressen aufgerufen worden war — darunter Adressen, die bekannten Datenhändler-Netzwerken zugeordnet werden konnten. Die Daten waren mit hoher Wahrscheinlichkeit bereits in einschlägigen Kreisen kursiert.
Monat 3: Die Datenschutzbehörde schloss ihre Untersuchung ab. Das Bußgeld: 750.000 Euro.
Monat 4–8: Eine Welle von Identitätsdiebstählen rollte über die Betroffenen. 347 Fälle wurden polizeilich registriert: gefälschte Kreditanträge, betrügerische Kontoeröffnungen, Bestellbetrug mit gestohlenen Identitäten. Die durchschnittliche Schadenssumme pro Betroffenem: 3.200 Euro. TalentBridge wurde in 89 Einzelklagen auf Schadensersatz verklagt.
Der Schaden im Detail
Finanzieller Schaden
| Kostenposition | Betrag |
|---|---|
| DSGVO-Bußgeld | 750.000 € |
| Schadensersatz (Vergleiche und Urteile) | 520.000 € |
| IT-Forensik und Incident Response | 140.000 € |
| Externe Rechtsberatung | 230.000 € |
| Benachrichtigung der 28.347 Betroffenen | 85.000 € |
| Umzugskosten für bedrohte Personen | 18.000 € |
| Neuaufbau IT-Infrastruktur | 195.000 € |
| PR-Krisenmanagement | 60.000 € |
| Umsatzrückgang (Kundenabwanderung) | 102.000 € |
| Gesamtschaden | 2.100.000 € |
Reputationsschaden
Der Mastodon-Post wurde über 12.000 Mal geteilt. TalentBridge wurde zum Paradebeispiel für verantwortungslosen Umgang mit Bewerberdaten. Drei Großkunden — darunter ein Logistikkonzern mit 400 Leiharbeitern — kündigten die Zusammenarbeit. Bewerber weigerten sich, Unterlagen einzureichen. Die Anzahl neuer Bewerbungen fiel um 61 %, was das Kerngeschäft der Personalvermittlung zum Erliegen brachte.
Auf kununu, dem Arbeitgeberbewertungsportal, häuften sich Bewertungen von Leiharbeitern: „Diese Firma kann nicht einmal eure persönlichen Daten schützen. Schickt bloß keine Dokumente hin."
Rechtliche Konsequenzen
Das Bußgeld von 750.000 Euro wurde mit folgender Begründung verhängt:
- Art. 32 DSGVO (Sicherheit der Verarbeitung): Ein öffentlich zugänglicher Cloud-Speicher ohne jegliche Zugriffskontrolle für hochsensible Bewerberdaten ist ein gravierender Verstoß. 400.000 €.
- Art. 33 DSGVO (Meldung an die Aufsichtsbehörde): Die Meldung erfolgte erst nach dem öffentlichen Mastodon-Post — nicht innerhalb von 72 Stunden nach Kenntnis. Der Sicherheitsforscher hatte drei Wochen vor der Meldung informiert. 150.000 €.
- Art. 34 DSGVO (Benachrichtigung der Betroffenen): Die Betroffenen wurden erst nach Medienberichten informiert, nicht proaktiv. 100.000 €.
- Erschwerend: Gesundheitszeugnisse und Führungszeugnisse sind besonders sensible Daten. Die irreführende Pressemitteilung wurde als fehlendes Problembewusstsein gewertet. 100.000 €.
Auswirkungen auf den Betrieb
Der IT-Dienstleister, der den S3-Bucket konfiguriert hatte, wurde verklagt. Die Klage auf 750.000 Euro Schadensersatz lief zum Zeitpunkt dieser Veröffentlichung noch. Geschäftsführer Brenner wurde vom Aufsichtsrat abberufen. Der neue Geschäftsführer musste die gesamte IT-Strategie überarbeiten und ein Datenschutz-Managementsystem implementieren — ein Prozess, der zwölf Monate dauerte und 350.000 Euro kostete.
Was schiefgelaufen ist
1. Cloud-Migration ohne Sicherheitskonzept: Die Migration von On-Premise in die Cloud wurde wie ein reines Infrastrukturprojekt behandelt, nicht wie ein Sicherheitsprojekt. Es gab keine Sicherheitsanforderungen, kein Threat Modeling, keine Abnahmeprüfung.
2. Unqualifizierter IT-Dienstleister: Ein Zwei-Mann-Unternehmen ohne nachweisbare Cloud-Security-Expertise wurde mit der Migration hochsensibler Personaldaten beauftragt. Es gab keinen Auftragsverarbeitungsvertrag, keine Eignungsprüfung, keine Referenzen.
3. Keine Überprüfung der Konfiguration: Nach der Migration prüfte niemand, ob der S3-Bucket korrekt konfiguriert war. Ein einfacher Test — der Versuch, ohne Authentifizierung auf den Bucket zuzugreifen — hätte den Fehler sofort offenbart.
4. Ignorieren von Sicherheitshinweisen: Der Sicherheitsforscher informierte TalentBridge drei Wochen vor der Veröffentlichung. Drei Wochen, in denen nichts geschah. Keine Prüfung, keine Reaktion, kein Bewusstsein dafür, dass es sich um eine Zeitbombe handelte.
5. Kein sicherer Dokumentenempfang: Bewerber luden ihre Unterlagen über ein ungesichertes Webformular hoch, das die Dateien direkt in den fehlkonfigurierten S3-Bucket schrieb. Ein professionelles Upload-System mit eigener Verschlüsselungs- und Zugriffschicht — wie sichere Upload-Links — hätte die Daten unabhängig von der S3-Konfiguration geschützt.
Die Lehren
Cloud-Sicherheit ist Chefsache. Die Verlagerung sensibler Daten in die Cloud erfordert ein Sicherheitskonzept, das vor der Migration steht — nicht danach. Wer einen S3-Bucket als öffentlich konfiguriert, legt die Daten auf den digitalen Marktplatz.
Qualifizierte Dienstleister auswählen und prüfen. Bei der Verarbeitung sensibler Personaldaten darf die Wahl des IT-Dienstleisters nicht vom niedrigsten Angebot abhängen. Zertifizierungen, Referenzen und ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO sind Mindestanforderungen.
Automatisierte Sicherheitsprüfungen. Cloud-Anbieter wie AWS bieten kostenlose Tools (z. B. AWS Trusted Advisor), die öffentlich zugängliche S3-Buckets automatisch erkennen. Diese Tools müssen aktiviert und überwacht werden.
Sicherheitshinweise ernst nehmen. Wenn ein Sicherheitsforscher eine Schwachstelle meldet, ist das eine kostenlose Sicherheitsprüfung — kein Ärgernis. Die richtige Reaktion: sofort prüfen, sofort beheben, sich bedanken.
Professionelle Dokumentenübertragung. Bewerber sollten Unterlagen über sichere Upload-Links einreichen — mit automatischer Verschlüsselung, Zugriffskontrolle und Audit-Trail. Das eliminiert die Abhängigkeit von korrekt konfigurierten Cloud-Speichern auf Infrastrukturebene.
Vermeiden Sie das nächste Cloud-Desaster. Testen Sie SendMeSafe 14 Tage kostenlos — Bewerberdokumente sicher empfangen, verschlüsselt speichern, lückenlos protokollieren. Keine Kreditkarte erforderlich.
Häufig gestellte Fragen
Wie häufig sind fehlkonfigurierte Cloud-Speicher?
Erschreckend häufig. Laut einer Studie von Qualys sind rund 31 % aller S3-Buckets mit unzureichenden Zugriffskontrollen konfiguriert. Das BSI warnt regelmäßig vor offenen Cloud-Speichern als einer der häufigsten Ursachen für Datenpannen. Die Konfiguration eines Cloud-Speichers ist technisch trivial — aber ein einziger falscher Klick kann Millionen von Datensätzen offenlegen.
Welche besonderen Pflichten gelten für Personaldienstleister?
Personaldienstleister verarbeiten regelmäßig besonders sensible Daten: Gesundheitszeugnisse (Art. 9 DSGVO), Führungszeugnisse und umfassende persönliche Profile. Sie unterliegen daher erhöhten Anforderungen: Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist in der Regel Pflicht, die Bestellung eines Datenschutzbeauftragten ebenfalls. Die Aufbewahrungsfristen für Bewerbungsunterlagen sind strikt einzuhalten — in der Regel maximal sechs Monate nach Abschluss des Bewerbungsverfahrens.
Habe ich als Bewerber ein Recht auf Information, wenn meine Daten betroffen sind?
Ja, uneingeschränkt. Nach Art. 34 DSGVO muss der Verantwortliche Sie unverzüglich informieren, wenn eine Datenschutzverletzung voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten zur Folge hat. Bei 28.000 Bewerberdatensätzen mit Personalausweiskopien und Gehaltsdaten ist dieses Risiko zweifelsfrei gegeben. Zusätzlich können Sie jederzeit einen Auskunftsantrag nach Art. 15 DSGVO stellen, um zu erfahren, welche Daten über Sie gespeichert sind.
Was soll ich tun, wenn ich von einem Datenleck betroffen bin?
Sofort handeln: Aktivieren Sie eine SCHUFA-Selbstauskunft und prüfen Sie auf unbekannte Einträge. Informieren Sie Ihre Bank über den möglichen Identitätsdiebstahl. Erstatten Sie vorsorglich Strafanzeige — das erleichtert spätere Schadensregulierungen. Überwachen Sie Ihre Kontobewegungen engmaschig. Und fordern Sie vom Verantwortlichen Auskunft darüber, welche Daten genau betroffen sind und welche Maßnahmen ergriffen wurden.
Häufig gestellte Fragen
Lassen Sie es nicht so weit kommen
Schützen Sie Ihre Daten mit sicheren Upload- und Share-Links.
Jetzt kostenlos testen