Wenn das Erbe beißt: Was der £14 Mio-ICO-Befund gegen Capita wirklich bedeutet

Excellence by default. Compliance by design.

Von Oliver Kölsch – Datenschutz, IT-Security & Compliance, TrendTec UG

Ein Bußgeld mit Signalwirkung

Im Frühjahr 2023 verhängte die britische Datenschutzaufsicht ICO (Information Commissioner’s Office) ein Bußgeld von rund £14 Millionen gegen den IT-Dienstleister Capita.

Der Fall ist kein Einzelfall, sondern ein Weckruf für die gesamte Branche – insbesondere für Unternehmen, die mit „Legacy-Systemen“ oder veralteten Dienstleisterstrukturen arbeiten.

Im Zentrum des Vorfalls standen Privilege Escalation und mangelhafte Alert-Response-Prozesse. Ein Angreifer konnte durch unzureichend verwaltete Berechtigungen privilegierten Zugriff erlangen. Warnungen wurden zwar generiert, aber zu spät oder gar nicht richtig eskaliert. Das Ergebnis: personenbezogene Daten von Millionen Bürgerinnen und Bürgern wurden kompromittiert.

Der eigentliche Kern: Verantwortung in der Tiefe der Architektur

Der Capita-Fall markiert eine Verschiebung im regulatorischen Denken.

Die ICO hat damit nicht nur einen einzelnen Anbieter sanktioniert, sondern ein klares Signal an die gesamte IT-Dienstleistungsbranche gesendet:

„Altverträge, Legacy-Infrastrukturen und pauschale Service-Modelle schützen nicht mehr vor Verantwortung.“

Das bedeutet:

• Technische Schuld ist heute auch rechtliche Schuld.
• Sorgfaltspflicht endet nicht beim Vertrag, sondern bei der Code- und Prozessbasis.
• Reaktionsgeschwindigkeit und Transparenz sind Compliance-Kriterien.

Datenschutz ist Systemarchitektur

Noch immer betrachten viele Organisationen Datenschutz als juristisches Randthema.

Doch der Capita-Vorfall zeigt: Datenschutz und IT-Sicherheit sind untrennbar mit der Systemarchitektur verbunden.

In der Praxis bedeutet das:

• Privilege-Management ist kein Add-on, sondern Pflichtbestandteil der DSGVO-Technikmaßnahmen.
• Incident-Response-Prozesse müssen trainiert, gemessen und auditiert werden.
• Legacy-Umgebungen erfordern eine klare, dokumentierte Risikobewertung mit Migrationsplan.

Wer seine Infrastrukturen nicht kontinuierlich modernisiert, häuft „Compliance-Schulden“ an – und die werden irgendwann fällig.

Drei Lehren für Unternehmen

1. Inventarisieren Sie Ihre Abhängigkeiten.
   Welche Systeme, Partner und Subprozessoren arbeiten wirklich DSGVO-konform?
2. Etablieren Sie ein durchgängiges Alert-Management.
   Definierte Runbooks, klare Eskalationsketten und nachvollziehbare Reaktionszeiten sind Pflicht.
3. Verankern Sie Datenschutz im Designprozess.
   Compliance entsteht nicht durch Policies, sondern durch Architekturentscheidungen.

Wie TrendTec Unternehmen unterstützt

Als technologiegetriebenes Compliance-Haus verbindet TrendTec Datenschutz, IT-Sicherheit und Geschäftsprozesse in einer durchgängig prüfbaren Architektur.

Unsere Lösungen umfassen:

• GoBD- und DSGVO-Auditmodule für Odoo (V18/V19),
• ISO-konformes Dokumentenmanagement (DMS) nach DIN EN 82045 & ISO 15489,
• Incident-Response-Workflows mit Audit-Trail und Reaktionszeit-KPIs,
• automatisierte Risiko- und Berechtigungsanalysen über zentrale Dashboards.

So entsteht Compliance by design – dokumentiert, messbar und auditierbar.

Fazit

Der Capita-Fall ist kein britisches Problem, sondern ein europäisches Lehrstück.

Er zeigt, dass Datenschutz, IT-Sicherheit und Unternehmensarchitektur längst keine getrennten Disziplinen mehr sind.

Denn wer auf veraltete Strukturen setzt, trägt nicht nur ein technisches, sondern auch ein rechtliches Risiko.

Oder, wie man es einfacher sagen kann:

Zinsen werden irgendwann fällig.

Über den Autor

Oliver Kölsch ist Datenschutzbeauftragter, Compliance-Lead und Geschäftsführer der TrendTec UG (haftungsbeschränkt).

Er berät Unternehmen bei der Integration von Compliance-Systemen, auch in Odoo-basierte Prozesslandschaften, mit Fokus auf DSGVO, GoBD, ISO 15489/16175 und IT-Security-Governance.