Der südkoreanische E-Commerce-Riese Coupang muss eine historische Geldstrafe von umgerechnet rund 575 Millionen Euro zahlen. Die südkoreanische Datenschutzkommission (PIPC) verhängte die bislang höchste Strafe des Landes nach einem Sicherheitsvorfall, bei dem die Daten von rund 37,5 Millionen Nutzerkonten kompromittiert wurden.
Interne Sicherheitslücke mit gravierenden Folgen
Ein ehemaliger IT-Mitarbeiter hatte sich mit einem nicht widerrufenen Authentifizierungsschlüssel Zugang zu den persönlichen Daten der Kunden verschafft. Die Aufsichtsbehörde verhängte dafür eine Strafe von umgerechnet rund 390 Millionen Euro. Hinzu kommen weitere 185 Millionen Euro für die unrechtmäßige Erfassung von Online-Aktivitätsdaten von über 11 Millionen Nutzern.
Anzeige: Ein ehemaliger IT-Mitarbeiter – ein nicht widerrufener Schlüssel – 575 Millionen Euro Strafe. Die Coupang-Katastrophe zeigt: Interne Bedrohungen sind die teuerste Sicherheitslücke. Dieser kostenlose Leitfaden liefert Ihnen die Checkliste, um Zugriffsrechte sofort zu widerrufen und eine Datenschutz-Folgenabschätzung durchzuführen – bevor Ihr Unternehmen der nächste Fall wird. Jetzt Sicherheits-Leitfaden anfordern
Die Gesamtstrafe übertrifft frühere Rekorde im südkoreanischen Telekommunikationssektor um das Vierfache. Branchenkenner bemerken, dass die Summe fast dem gesamten Jahresgewinn von Coupang entspricht. Das Unternehmen kündigte an, vor dem Verwaltungsgericht in Seoul gegen die Entscheidung vorzugehen. Gleichzeitig hat Coupang angeblich umgerechnet rund 1,55 Milliarden Euro für mögliche Kundenentschädigungen zurückgestellt.
USA: Welle von Sammelklagen erschüttert Unternehmen
Parallel zu den Entwicklungen in Südkorea zeichnet sich auch in den USA ein verschärftes Vorgehen gegen Datenschutzverstöße ab. Der Kabelnetzbetreiber Spectrum, eine Tochter von Charter Communications, sieht sich einer Sammelklage aus Connecticut gegenüber. Die Klage wirft dem Unternehmen vor, die Daten von über 40 Millionen Kunden und Mitarbeitern nicht ausreichend geschützt zu haben.
Die Sicherheitslücke soll im April 2026 entstanden sein. Die Hackergruppe ShinyHunters verschaffte sich demnach durch Voice-Phishing Zugang zu den Unternehmenssystemen. Namen, Adressen und Nutzungsdaten der Kunden gelangten in die Hände der Angreifer.
Oracle-Sicherheitslücke betrifft vor allem Hochschulen
Dieselbe Hackergruppe nutzte offenbar auch eine kritische Sicherheitslücke in der Software Oracle PeopleSoft aus. Die Schwachstelle mit der Kennung CVE-2026-35273 erreicht eine Schwere von 9,8 von 10 möglichen Punkten. Sicherheitsforscher bestätigten, dass zwischen Ende Mai und dem 9. Juni 2026 über 100 Organisationen betroffen waren.
Besonders hart traf es den Hochschulsektor: Rund 68 Prozent der betroffenen Einrichtungen sind Universitäten. Die University of Nottingham bestätigte einen Datenleck im Umfang von 40 Gigabyte. Oracle hat inzwischen ein Sicherheitsupdate veröffentlicht.
Millionen-Vergleiche für Altfälle stehen kurz vor dem Abschluss
Mehrere spektakuläre Datenschutzfälle aus der Vergangenheit bewegen sich auf finanzielle Einigungen zu:
23andMe: Der Gen-Analyse-Dienst einigte sich auf einen Vergleich von umgerechnet rund 43 Millionen Euro. Hintergrund ist ein Vorfall aus dem Jahr 2023, bei dem 5,5 Millionen DNA-Profile gestohlen wurden. 30 Millionen Euro sind für die Sammelklage vorgesehen. Der Vergleich folgt auf die Insolvenzanmeldung des Unternehmens im März 2025.
Labcorp: Der Labordienstleister erzielte eine vorläufige Einigung über rund 32 Millionen Euro. Der Fall betrifft eine Datenschutzverletzung aus den Jahren 2018 und 2019. Betroffene können bis zum 3. September 2026 Ansprüche von bis zu 4.600 Euro geltend machen.
Flagstar Bank: Die US-Bank schlug einen Vergleich von rund 29 Millionen Euro vor. Zwei separate Sicherheitsvorfälle aus dem Jahr 2021 hatten über zwei Millionen Kunden betroffen. Eine abschließende Anhörung ist für den 1. Oktober 2026 angesetzt.
Anzeige: Sammelklagen nach Datenlecks kosten Unternehmen Milliarden – Spectrum (40 Mio. Kunden) und 23andMe (43 Mio. Euro Vergleich) sind nur die Spitze des Eisbergs. Mit unserer Incident-Response-Vorlage für KMU sind Sie auf den Ernstfall vorbereitet und minimieren Haftungsrisiken. Incident-Response-Vorlage jetzt sichern
Neue Vorfälle unter rechtlicher Prüfung
Mehrere Unternehmen haben in den vergangenen Tagen weitere Sicherheitsvorfälle gemeldet. Gegen den Messtechnik-Hersteller Fluke Corp. wurde am 5. Juni 2026 in Seattle Klage eingereicht. Der Vorwurf: Das Unternehmen habe einen Vorfall zwischen August und Oktober 2025 nicht verhindert, von dem über 18.000 Menschen betroffen waren.
Auch in der Finanzbranche gibt es neue Entwicklungen. Der Hypothekenvermittler C2 Financial meldete einen Vorfall vom 25. April 2026, der auf eine Phishing-Attacke bei einem Drittanbieter zurückgeht. Plaza Home Mortgage berichtete von einem unbefugten Zugriff, der die Daten von fast 138.000 Personen gefährdet haben könnte. Und die Wirtschaftsprüfungskanzlei Palacio, Palacio & Zimmerman aus Vermont meldete am 10. Juni 2026 einen Vorfall mit möglicher Offenlegung von Sozialversicherungsnummern.
