Am 28. Mai 2026 leiteten US-Behörden und südkoreanische Aufseher Maßnahmen gegen Unternehmen und Institutionen ein, die persönliche Daten unzureichend geschützt hatten. Die Palette reicht von Milliardenvergleichen bis zu Klagen wegen gehackter Gen-Daten.
Kalifornien verklagt ehemalige 23andMe
Der kalifornische Generalstaatsanwalt Rob Bonta reichte am 28. Mai 2026 Klage gegen die Chrome Holding Co. ein – die Firma, die früher als 23andMe bekannt war. Im Zentrum steht ein Datenleck aus dem Jahr 2023, das weltweit fast sieben Millionen Nutzer betraf, darunter mehr als 855.000 Kalifornier.
Die massiven Datenlecks bei Unternehmen wie 23andMe verdeutlichen, wie wichtig ein proaktiver Schutz vor Cyberkriminellen heute für jedes Unternehmen ist. In diesem kostenlosen E-Book erklären Experten, wie Sie Sicherheitslücken schließen und sich gegen aktuelle Bedrohungen absichern. Experten-Checkliste für IT-Sicherheit jetzt kostenlos herunterladen
Die Angreifer nutzten gestohlene Zugangsdaten aus einem früheren Hack der Plattform MyHeritage von 2017. Fünf Monate lang blieben sie unentdeckt, knackten 14.000 Konten und zapften über die Funktion „DNA-Verwandte“ sensible Daten ab. Betroffen waren rohe Gen-Daten, Gesundheitsberichte, ethnische Profile und Stammbaum-Details.
Die Klage stützt sich auf mehrere Gesetzesverstöße, darunter den California Consumer Privacy Act (CCPA), das Genetic Information Privacy Act und das Reasonable Data Security Law. Bonta wirft dem Unternehmen vor, hochsensible genetische Informationen nicht ausreichend geschützt und Kunden über das Ausmaß des Einbruchs getäuscht zu haben.
Rhode Island: Millionenvergleich mit Deloitte
Der Gouverneur von Rhode Island, Dan McKee, verkündete am 28. Mai 2026 einen endgültigen Vergleich über zwölf Millionen Euro mit der Beratungsfirma Deloitte. Damit endet ein Rechtsstreit um einen Ransomware-Angriff im Dezember 2024 auf das öffentliche Leistungssystem RIBridges.
Die Hackergruppe Brain Cipher nutzten gestohlene Mitarbeiter-Zugangsdaten und hielt sich fünf Monate im System. Dabei blieben 397 Firewall-Warnungen unbemerkt. Mehr als 644.000 Menschen waren betroffen – gestohlen wurden Sozialversicherungsnummern, Geburtsdaten und Bankinformationen.
Deloitte zahlt zusätzlich zu früheren Zahlungen weitere sieben Millionen Euro und investierte sechs Millionen in Systemverbesserungen. Bereits Anfang des Jahres hatte sich die Firma in einem separaten Fall mit 6,3 Millionen Euro Vergleichssumme geeinigt.
Südkorea bestraft Regierungsbehörde
Die südkoreanische Datenschutzkommission verhängte am 28. Mai 2026 ein Bußgeld von umgerechnet rund 187.000 Euro gegen das Innenministerium. Grund waren Sicherheitslücken auf den Plattformen Government24 und Shared Nuri. Fehler im Quellcode und ungepatchte Schwachstellen führten dazu, dass Suchmaschinen sensible Dokumente wie Steuerbescheide und Meldedaten indexierten.
Da Vorfälle wie bei Deloitte zeigen, dass oft das Social Engineering von Mitarbeiterkonten der Startpunkt für massiven Datenklau ist, gewinnen gezielte Abwehrmethoden an Bedeutung. Dieser kostenlose Report enthüllt die psychologischen Tricks der Hacker und zeigt Ihnen in 4 Schritten den Weg zur erfolgreichen Abwehr. Anti-Phishing-Paket gratis sichern
Rom kippt Millionenstrafe gegen OpenAI
Ein Gericht in Rom hob eine 15-Millionen-Euro-Strafe gegen OpenAI auf, die die italienische Datenschutzbehörde Ende 2024 verhängt hatte. Die Begründung: Die italienische Aufsicht sei gar nicht zuständig gewesen. OpenAI hatte bereits Anfang 2024 eine irische Tochter gegründet, womit die irische Datenschutzkommission die federführende Behörde ist.
Weitere Vorfälle und Vergleiche
Mehrere Unternehmen meldeten in den vergangenen Tagen Sicherheitsvorfälle oder Vergleichsabschlüsse:
- Carnival Corporation: Der Kreuzfahrtbetreiber bestätigte einen Vorfall vom 14. April 2026. Durch Social Engineering eines Mitarbeiterkontos gelangten Passnummern, Führerscheine und andere Ausweisdaten in falsche Hände.
- Niederländische Polizei: Beamte nahmen am 26. Mai 2026 einen 35-jährigen Verdächtigen fest. Ihm wird vorgeworfen, den Fußballclub Ajax Amsterdam gehackt und Daten von 300.000 Fans sowie 42.000 digitale Tickets gestohlen zu haben.
- Gesundheitssektor: Das Lakeview Health Systems einigte sich auf einen Vergleich für einen Vorfall vom Januar 2024, der über 10.000 Menschen betraf. Betroffene können bis August 2026 Ansprüche geltend machen. Das Henderson & Walton Women’s Center zahlte 900.000 Euro zur Beilegung einer Sammelklage nach einem Datenleck von 2022.
- Circle K: Die Tankstellenkette Gas Express LLC, die als Circle K firmiert, erzielte eine Einigung zu einem Cyberangriff vom Mai 2024. Betroffene können bis Anfang September 2026 nachgewiesene Schäden von bis zu 2.000 Euro geltend machen.
