RSS FeedsTwitterEnglish Version
Ransomware
Gerichtsurteil

DSGVO-Briefing

DSGVO-Briefing
Datum15. Juli 2025

Die Ransomware-Gruppe "Safepay" attackiert zwei bekannte Unternehmen, eines davon in Deutschland. Das Landesarbeitsgericht Hessen entscheidet unterdessen: Verantwortung für datenschutzrechtliche Angelegenheiten liegt beim Arbeitgeber, nicht dem Betriebsrat. Dieser hat kein Mitspracherecht.

Informationstechnik-Großhändler Ingram Micro Opfer von Ransomware-Attacke: Bestellungen unmöglich, interne Prozesse unterbrochen.

Ab dem 3. Juli 2025 kam es beim Informations- und Kommunikationstechnik-Großhändler Ingram Micro zu massiven Störungen, die interne Systeme zusammenbrechen ließen und Webseiten unerreichbar machten. Rief man die Firmen-Webseiten auf, erschien entweder eine "Zugriff verboten"-Nachricht oder eine Meldung über Wartungsarbeiten. Online-Bestellungen waren unmöglich.

Am 5. Juli wurde bekannt, dass die Ausfälle auf einen Ransomware-Angriff der Gruppe "Safepay" zurückzuführen war. Zwar ist das Unternehmen nach Stand des 7. Juli 2025 nicht auf der Darknet-Seite der Hacker gelistet, jedoch hatte das Nachrichtenportal BleepingComputer Einsicht in eine Erpressernotiz, die gewöhnlich von "Safepay" stammt.

Ebenfalls am 5. Juli bestätigte Ingram Micro die Ransomware-Attacke. Man habe vorsorglich weitere Systeme als nur die betroffenen offline genommen.

Explosionsschutztechnik-Hersteller aus Deutschland wird ebenfalls Ransomware-Opfer.

Auch ein deutscher Hersteller von Sicherheitstechnik für Explosionsschutz ist Opfer eines Ransomware-Angriffs geworden. Am 12. Juli 2025 tauchte das Unternehmen ebenfalls auf der Leaksite der Hackergruppe "Safepay" auf.

Nach Angaben der Angreifer sollen rund 21 GB an Unternehmensdaten ausgelesen worden sein. Die Kriminellen setzten dem Betrieb eine Frist bis zum 15. Juli: Sollte bis dahin keine Einigung erzielt werden, drohen sie mit der Veröffentlichung der gestohlenen Informationen.

Betriebsräte haben kein Mitbestimmungsrecht bei Datenschutzfragen: Verantwortung liegt beim Arbeitgeber.

Ausgangspunkt der Verhandlung war ein Streit über die Einführung eines konzernweit eingesetzten IT-Systems zur Stammdatenverwaltung, das auf US-Servern betrieben wurde. Der Betriebsrat beanstandete insbesondere den Datenschutz, etwa die unzureichende Regelung des Systems in der Betriebsvereinbarung und die Datenübermittlung in die USA, und wollte den Einigungsstellenspruch anfechten.

Das Gericht stellte jedoch fest, dass sich das Mitbestimmungsrecht des Betriebsrats ausschließlich auf Fragen der Leistungs- und Verhaltenskontrolle durch technische Einrichtungen bezieht. Datenschutzrechtliche Pflichten fallen in die alleinige Verantwortung des Arbeitgebers als datenschutzrechtlich Verantwortlicher nach Art. 4 Nr. 7 DSGVO.

Auch aus anderen Vorschriften lässt sich kein umfassendes Mitbestimmungsrecht zum Datenschutz ableiten. Außerdem verwies das LAG auf den Gesetzesvorbehalt des § 87 Abs. 1 BetrVG: Wo gesetzliche Vorschriften bestehen, sind diese abschließend und erlauben keine Mitbestimmung.

Quellen

Bleeping Computer
Impressum / Datenschutz / Rechtliche Hinweise