Fast zwei Jahre nach einem massiven Cyberangriff informiert der Gebäudetechnikkonzern Johnson Controls erstmals ehemalige Mitarbeiter direkt über die Folgen eines gravierenden Datenlecks. Der Angriff war bereits im September 2023 öffentlich bekannt geworden. Damals berichteten Medien, dass Hacker Zugriff auf die IT-Infrastruktur erlangt hatten. Doch erst jetzt – im August 2025 – erhalten Betroffene ein offizielles Schreiben, das der Verbraucherkanzlei Dr. Stoll & Sauer vorliegt. Das verspätete Informieren stellt nach Einschätzung der Kanzlei einen klaren Verstoß gegen die DSGVO dar und eröffnet Betroffenen Schadensersatzansprüche. Eine kostenlose Ersteinschätzung ist im DSGVO-Online-Check der Kanzlei möglich.

Das Datenleck bei Johnson Controls im Überblick

Das Ausmaß des Datenlecks bei Johnson Controls ist erheblich. Nach Medienberichten wurde das Unternehmen am 24. September 2023 auf einen massiven Cyberangriff aufmerksam. Ein unbefugter Dritter hatte Zugriff auf zentrale IT-Systeme erlangt. Erst am 27. September 2023 machte Johnson Controls den Vorfall in Unternehmensmeldungen öffentlich und informierte die Strafverfolgungsbehörden. Weitere Bekanntmachungen folgten im November und Dezember 2023.

Die jetzt – im August 2025 – an ehemalige Mitarbeiter verschickten Schreiben bestätigen die Dimension des Vorfalls. Dort heißt es: „Wir haben festgestellt, dass ein unbefugter Dritter zwischen dem 1. Februar 2023 und dem 30. September 2023 auf bestimmte Systeme von Johnson Controls zugegriffen und Informationen aus diesen Systemen entnommen hat.“

Das bedeutet: Über einen Zeitraum von acht Monaten konnten Angreifer ungestört auf interne Netzwerke zugreifen und sensible Informationen abziehen. Nach Informationen aus Sicherheitskreisen sollen dabei rund 27 Terabyte Daten entwendet worden sein – ein Volumen, das weit über normale Datendiebstähle hinausgeht.

Betroffene Daten im Überblick

Das Schreiben listet konkret auf, welche Kategorien von Beschäftigtendaten kompromittiert wurden:

• Identitätsdaten wie Name, Geburtsdatum, Adresse
  • Amtliche Angaben wie nationale Identifikationsnummer und Mitarbeiter-Identifikationsnummer
  • Beschäftigungsbezogene Informationen wie Angaben zu Vergütung, Sozialleistungen, Leistungsbeurteilungen und weiteren Beschäftigungsdaten
  • Besonders sensible Informationen wie Angaben zur Gewerkschafts- oder Betriebsratsmitgliedschaft

Gerade die letztgenannten Informationen sind hochsensibel. Sie fallen in den besonderen Schutzbereich von Art. 9 DSGVO, da sie Rückschlüsse auf die Gewerkschaftszugehörigkeit zulassen und damit zu den „besonderen Kategorien personenbezogener Daten“ zählen. Ein Abfluss solcher Informationen wiegt besonders schwer.

Reaktion von Johnson Controls auf das Datenleck

Nach eigenen Angaben leitete Johnson Controls sofort eine Untersuchung ein, setzte interne und externe Experten ein und versuchte, den unbefugten Zugriff zu unterbinden. Man betont im Schreiben: „Wir haben keinen Hinweis darauf, dass die Daten bislang missbraucht wurden.“

Gleichzeitig mahnt das Unternehmen aber an, wachsam zu bleiben. Betroffene sollen verdächtige Aktivitäten auf Bank- oder Online-Konten beobachten, ihre Zugangsdaten ändern und auf unaufgeforderte Anfragen nach persönlichen Daten nicht reagieren.

Als Unterstützung stellt Johnson Controls eine spezielle Website bereit und bietet zusätzliche Leistungen an – darunter Kreditüberwachung, Identitätswiederherstellung und Dark-Web-Scanning. Diese Angebote sind nach Angaben des Unternehmens für Betroffene kostenfrei.

Problem der verspäteten Information beim Datenleck

Besonders kritisch: Obwohl der Vorfall bereits 2023 bekannt war, erhalten viele Betroffene erst jetzt – fast zwei Jahre später – eine direkte Information. Nach der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen die Betroffenen jedoch „unverzüglich“ informieren, wenn ihre Rechte und Freiheiten beeinträchtigt sein könnten. Die verzögerte Mitteilung verschärft die Rechtslage erheblich und eröffnet Betroffenen die Möglichkeit, Ansprüche geltend zu machen.

Wichtigste Fakten zum Datenleck bei Johnson Controls

• Cyberangriff im September 2023 entdeckt
  • Unbefugter Zugriff vom 1. Februar bis 30. September 2023
  • Rund 27 Terabyte Daten entwendet
  • Unternehmensmeldungen Ende 2023 – Betroffene Mitarbeiter erst 2025 informiert
  • Besonders sensible Beschäftigtendaten (inkl. Gewerkschaftszugehörigkeit) betroffen

Rechtliche Einordnung des Datenlecks bei Johnson Controls

Die verspätete Information kann als ein klarer Verstoß gegen Art. 34 DSGVO gewertet werden. Betroffene müssen „unverzüglich“ informiert werden, wenn ihre Rechte und Freiheiten beeinträchtigt sein können. Für die Geschädigten ergeben sich deutliche Schadensersatzansprüche nach Art. 82 DSGVO. Die Rechtsprechung von EuGH und BGH stärkt die Position der Betroffenen:

• EuGH, Urteil vom 4. Mai 2023 – C-300/21
  Der Europäische Gerichtshof stellte klar, dass immaterielle Schäden ersatzfähig sind. Es genügt bereits das Gefühl des Kontrollverlusts, Angst vor Identitätsdiebstahl oder der Eindruck ständiger Überwachung.
• BGH, Urteil vom 5. März 2021 – VI ZR 12/19
  Der Bundesgerichtshof bestätigte, dass Art. 82 DSGVO einen eigenständigen Schadensersatzanspruch begründet. Auch ohne nachweisbaren materiellen Schaden können Betroffene Entschädigung verlangen.
• BGH, Urteil vom 18. November 2024 – VI ZR 10/24
  Besonders grundlegend: Der BGH entschied, dass schon der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellt. Es reicht also aus, dass Betroffene erfahren, dass ihre Daten in falsche Hände geraten sind – selbst ohne konkreten Missbrauch.

Die Kombination aus hochsensiblen Beschäftigtendaten und einer fast zweijährigen Verzögerung bei der Information der Betroffenen macht aus Sicht der Kanzlei Dr. Stoll & Sauer diesen Vorfall besonders gravierend. Nach der klaren Linie von EuGH und BGH bestehen hervorragende Chancen, Schadensersatz durchzusetzen.

Jetzt handeln: Kostenlose Ersteinschätzung im Online-Check

Betroffene des Datenlecks bei Johnson Controls sollten ihre Situation umgehend prüfen lassen. Die Kanzlei Dr. Stoll & Sauer hilft dabei, die rechtlichen Optionen einzuschätzen, Ansprüche zu sichern und etwaige Verstöße gegen die DSGVO aufzudecken. Jetzt kostenlose Ersteinschätzung im Datenschutz-Online-Check starten und Ansprüche sichern.