Praktikant lädt sensible Firmendaten auf privaten USB-Stick
Wenn ein Praktikant ohne böse Absicht vertrauliche Daten auf einem USB-Stick mitnimmt — ein unterschätztes Datenschutzrisiko in jedem Unternehmen.
Das Szenario
Lena Hofmann ist 22 Jahre alt und absolviert ein sechsmonatiges Pflichtpraktikum bei einer mittelständischen Personalberatung in München. Sie studiert Betriebswirtschaft im fünften Semester und ist motiviert, engagiert und technisch versiert. Ihre Kolleginnen und Kollegen schätzen sie — sie arbeitet selbstständig und übernimmt schnell Verantwortung.
In ihrem letzten Praktikumsmonat beginnt Lena, Unterlagen für ihr Portfolio zusammenzustellen. Sie möchte bei zukünftigen Bewerbungen zeigen können, welche Projekte sie betreut hat und welche Fähigkeiten sie erworben hat. An einem Freitagabend, als das Büro bereits leer ist, steckt sie ihren privaten USB-Stick in den Arbeitsrechner und kopiert verschiedene Dateien:
- Die komplette Kundendatenbank als Excel-Export — rund 1.800 Firmenkontakte mit Ansprechpartnern, Telefonnummern und E-Mail-Adressen
- Projektdokumentationen aus drei Recruiting-Mandaten, inklusive Kandidatenprofile mit Gehaltswünschen, Verfügbarkeiten und persönlichen Notizen zu 47 Bewerbern
- Interne Präsentationen zur Unternehmensstrategie, die Umsatzzahlen, Margenanalysen und Wachstumspläne enthalten
- Vorlagen und Templates für Angebote, Verträge und Kundenkommunikation
- Eine Kalkulationstabelle mit Honorarsätzen und Provisionsstrukturen für alle Berater der Firma
Lena hat keine böse Absicht. Sie will die Daten nicht verkaufen oder weitergeben. Sie möchte lediglich „Referenzmaterial" für ihre Karriere sichern. Den Kundendaten entnimmt sie, dass sie „sowieso öffentlich zugänglich" seien — eine Fehleinschätzung, da die Zusammenstellung dieser Daten mit internen Bewertungen ein geschütztes Geschäftsgeheimnis darstellt.
Zwei Wochen nach Ende ihres Praktikums verliert Lena den USB-Stick in der Mensa der Ludwig-Maximilians-Universität. Er hat keinen Passwortschutz, keine Verschlüsselung at Rest. Der Stick wird von einem anderen Studenten gefunden, der neugierig den Inhalt durchsieht und Teile davon in einer WhatsApp-Gruppe teilt — darunter die Gehaltswünsche mehrerer namentlich genannter Kandidaten.
Die Personalberatung erfährt erst drei Wochen später davon, als ein Kandidat anruft und fragt, warum seine Gehaltsvorstellungen in sozialen Medien kursieren.
Die Risiken
Was wie eine harmlose Unachtsamkeit einer Praktikantin aussieht, entpuppt sich als ernsthaftes Datenschutzproblem mit weitreichenden Konsequenzen.
Unkontrollierte Datenverbreitung: Sobald Daten auf einem unverschlüsselten USB-Stick das Unternehmen verlassen, gibt es keine Möglichkeit mehr, ihre Verbreitung zu kontrollieren. Im konkreten Fall wurden die Daten bereits in sozialen Medien geteilt — eine Rückholung ist unmöglich.
Kandidatendaten kompromittiert: Die Profile von 47 Bewerbern mit Gehaltswünschen und persönlichen Notizen sind besonders sensible Daten. Bewerber vertrauen darauf, dass ihre Informationen vertraulich behandelt werden. Gelangen diese Daten an aktuelle Arbeitgeber, kann das ernste berufliche Konsequenzen für die Betroffenen haben.
Geschäftsgeheimnisse offengelegt: Die internen Kalkulationen, Honorarsätze und Strategiepräsentationen sind Geschäftsgeheimnisse, deren Offenlegung der Wettbewerbsposition der Firma direkt schadet. Konkurrenten erhalten Einblick in Preisstrukturen und strategische Planungen.
Insider-Risiko unterschätzt: Das Szenario zeigt eine der häufigsten Ursachen für Datenverlust: gutgläubige Mitarbeiter ohne böswillige Absicht, aber ohne ausreichendes Bewusstsein für Datenschutz. Laut Studien gehen über 60 Prozent aller Datenpannen auf interne Akteure zurück — die meisten davon unbeabsichtigt.
Kettenreaktion durch Verzögerung: Die dreiwöchige Verzögerung zwischen Datenverlust und Entdeckung hat die Situation erheblich verschärft. In dieser Zeit konnten sich die Daten unkontrolliert verbreiten, ohne dass Gegenmaßnahmen möglich waren.
Rechtliche Konsequenzen
Auch wenn Lena keine böse Absicht hatte, steht die Personalberatung als Verantwortliche im Sinne der DSGVO in der Pflicht. Fehlende interne Kontrollen und mangelnde Schulung entlasten das Unternehmen nicht.
Art. 32 DSGVO — Technisch-organisatorische Maßnahmen: Das Unternehmen hätte technische Vorkehrungen treffen müssen, um das unkontrollierte Kopieren von Daten auf externe Datenträger zu verhindern. Dazu gehören USB-Port-Sperren, Data-Loss-Prevention-Systeme (DLP) oder mindestens klare Richtlinien mit technischer Durchsetzung. Das Fehlen solcher Maßnahmen ist ein Organisationsversagen.
Art. 33 DSGVO — Meldepflicht: Der Verlust des USB-Sticks mit unverschlüsselten personenbezogenen Daten ist meldepflichtig. Erschwerend kommt hinzu, dass die Meldung erst drei Wochen nach dem eigentlichen Datenverlust erfolgen kann — die 72-Stunden-Frist beginnt zwar erst bei Kenntnisnahme, doch die späte Entdeckung deutet auf fehlende Kontrollmechanismen hin.
Art. 34 DSGVO — Benachrichtigung der Betroffenen: Die 47 Kandidaten, deren Bewerbungsdaten veröffentlicht wurden, sowie die 1.800 Firmenkontakte müssen informiert werden. Besonders kritisch: Die Gehaltsinformationen der Kandidaten sind bereits in sozialen Medien aufgetaucht — ein hohes Risiko für die Betroffenen liegt zweifelsfrei vor.
Geschäftsgeheimnisgesetz (GeschGehG): Neben der DSGVO kommt auch das Geschäftsgeheimnisgesetz zum Tragen. Die kopierten Strategiedokumente und Kalkulationen sind Geschäftsgeheimnisse. Das Unternehmen muss nachweisen, dass es angemessene Geheimhaltungsmaßnahmen getroffen hat — was angesichts des unkontrollierten USB-Zugangs schwer zu argumentieren ist.
Arbeitsrechtliche Konsequenzen: Auch wenn Lena Praktikantin war, kann das Unternehmen zivilrechtliche Ansprüche geltend machen. In der Praxis ist die Durchsetzung gegenüber einer Studentin jedoch schwierig und der Reputationsschaden durch ein Gerichtsverfahren möglicherweise größer als der Nutzen.
Finanzielle Auswirkungen
Die finanziellen Folgen eines solchen Vorfalls treffen auch kleinere Unternehmen empfindlich:
| Kostenposition | Geschätzter Betrag |
|---|---|
| Forensische Analyse und Schadensbewertung | 3.000 – 8.000 € |
| Rechtliche Beratung (Datenschutz und Arbeitsrecht) | 6.000 – 18.000 € |
| Meldung an die Aufsichtsbehörde | 1.500 – 4.000 € |
| Benachrichtigung der Betroffenen (1.847 Personen) | 4.000 – 10.000 € |
| Bußgeld der Datenschutzbehörde | 5.000 – 50.000 € |
| Schadenersatzforderungen betroffener Kandidaten | 5.000 – 25.000 € |
| Verlust von Mandanten und Aufträgen | 10.000 – 40.000 € |
| Implementierung technischer Schutzmaßnahmen | 3.000 – 12.000 € |
| Gesamtkosten | 37.500 – 167.000 € |
Für eine mittelständische Personalberatung mit vielleicht 15 Mitarbeitern können Kosten in dieser Größenordnung das Geschäftsjahr erheblich belasten — vom Vertrauensverlust bei Kandidaten und Mandanten ganz abgesehen.
Die sichere Alternative
Der Fall zeigt: Wenn sensible Daten unkontrolliert auf lokalen Rechnern liegen und auf beliebige Datenträger kopiert werden können, ist ein Datenverlust nur eine Frage der Zeit. SendMeSafe bietet einen strukturell anderen Ansatz, der dieses Risiko an der Wurzel beseitigt.
Kein lokaler Dateizugriff nötig: Statt Kundendaten und Kandidatenprofile auf dem Arbeitsrechner zu speichern, können Mitarbeiter über den Browser auf die Dateien in SendMeSafe zugreifen. Es gibt nichts, was auf einen USB-Stick kopiert werden könnte, weil die Dateien gar nicht lokal vorliegen.
Kontrollierter Dokumentenaustausch: Über Upload-Links können Kandidaten ihre Unterlagen direkt und sicher einreichen. Die Dateien landen verschlüsselt in der Plattform — nicht als E-Mail-Anhänge auf lokalen Rechnern.
Granulare Zugriffsrechte: Praktikanten und neue Mitarbeiter erhalten nur Zugriff auf die Daten, die sie für ihre Arbeit benötigen. Es gibt keine Möglichkeit, ganze Datenbanken zu exportieren oder herunterzuladen.
Sichere Weitergabe statt lokaler Kopien: Wenn Lena Projektbeispiele für ihr Portfolio benötigt, kann die Firma über Share-Links anonymisierte Beispiele gezielt freigeben — mit Ablaufdatum und Zugriffskontrolle. So behält das Unternehmen die volle Kontrolle über seine Daten.
Audit-Trail für volle Transparenz: Jeder Dateizugriff wird protokolliert. Wenn Daten das Unternehmen verlassen, ist sofort nachvollziehbar, wer wann auf welche Dateien zugegriffen hat. Ungewöhnliche Zugriffsmuster — wie das massenhafte Herunterladen kurz vor Praktikumsende — fallen sofort auf.
Häufig gestellte Fragen
Dürfen Praktikanten Firmendaten auf private Datenträger kopieren?
Nein. Das Kopieren von Firmendaten auf private Datenträger ist in den meisten Unternehmen durch die IT-Nutzungsrichtlinie ausdrücklich untersagt — unabhängig davon, ob eine böswillige Absicht vorliegt. Auch wenn keine explizite Richtlinie existiert, ergibt sich aus der arbeitsvertraglichen Treuepflicht, dass vertrauliche Unternehmensinformationen nicht nach außen getragen werden dürfen. Unternehmen sollten diese Regelung bei jedem Praktikumsantritt schriftlich kommunizieren und die Kenntnisnahme dokumentieren lassen.
Wie kann man USB-Ports in Unternehmen sperren?
Die USB-Port-Sperrung kann auf verschiedenen Ebenen erfolgen: über Gruppenrichtlinien (GPO) in Windows-Netzwerken, über Endpoint-Protection-Software oder über spezialisierte Data-Loss-Prevention-Lösungen (DLP). Empfehlenswert ist ein abgestufter Ansatz: USB-Massenspeicher werden generell gesperrt, während Tastatur und Maus weiterhin funktionieren. Ausnahmen können für berechtigte Mitarbeiter über die IT-Abteilung freigeschaltet werden. Die Kosten für solche Lösungen beginnen bei wenigen Euro pro Arbeitsplatz und Monat.
Wer haftet, wenn ein Praktikant Daten verliert — der Praktikant oder das Unternehmen?
Gegenüber den betroffenen Personen und der Aufsichtsbehörde haftet immer das Unternehmen als Verantwortlicher im Sinne der DSGVO. Das Unternehmen kann zwar intern Regressansprüche gegen den Praktikanten geltend machen, doch in der Praxis ist dies schwer durchsetzbar — insbesondere bei fehlender Schulung und fehlenden technischen Schutzmaßnahmen. Aufsichtsbehörden bewerten es als erschwerend, wenn ein Unternehmen keine angemessenen Vorkehrungen gegen unkontrollierten Datenabfluss getroffen hat.
Welche Maßnahmen sollten Unternehmen beim Onboarding von Praktikanten ergreifen?
Ein strukturiertes Onboarding sollte mindestens folgende Punkte umfassen: eine Datenschutzschulung mit Dokumentation der Teilnahme, die Unterzeichnung einer Vertraulichkeitsvereinbarung, die Einrichtung eingeschränkter Zugriffsrechte nach dem Prinzip der minimalen Berechtigung, die technische Sperrung von USB-Ports und externen Speichermedien sowie klare Regelungen für den Umgang mit Unternehmensdaten am letzten Arbeitstag — inklusive Rückgabe aller Materialien und Löschung von Daten auf privaten Geräten.
Häufig gestellte Fragen
Schützen Sie Ihr Unternehmen
Vermeiden Sie Datenschutzvorfälle mit sicheren Upload- und Share-Links.
Jetzt kostenlos testen