10 Pelanggaran Data Terbesar di Jerman [2026]

1. Pengantar#

Jerman adalah ekonomi terbesar di Eropa dan salah satu yurisdiksi yang paling banyak diretas di benua tersebut. Rata-rata biaya pelanggaran data di Jerman mencapai 4,9 juta EUR pada tahun 2024 (sekitar 5,31 juta USD), menempatkan negara ini di antara lima besar yang paling mahal secara global menurut IBM Cost of a Data Breach Report 2024. Sejak GDPR mulai berlaku, organisasi-organisasi di Jerman telah mengajukan lebih banyak notifikasi dibandingkan negara anggota UE lainnya.

Artikel ini mencantumkan 10 pelanggaran data paling signifikan dalam sejarah Jerman - dari peretasan Bundestag 2015 hingga kebocoran Samsung Jerman 2025 - bersama dengan aturan pelaporan, denda GDPR, dan pola pencegahan yang berlaku bagi organisasi mana pun yang beroperasi di Jerman.

2. Mengapa Jerman Menjadi Target Menarik untuk Pelanggaran Data?#

Posisi Jerman sebagai kekuatan industri Eropa, peran geopolitiknya di NATO dan UE, serta rezim perlindungan data dengan 16 otoritas yang terfragmentasi digabungkan untuk menghasilkan permukaan serangan yang sangat besar. Penyerang menargetkan perusahaan Jerman untuk kekayaan intelektual bernilai tinggi di bidang otomotif, bahan kimia, teknik, dan keuangan. Kelompok yang disponsori negara menargetkan institusi politik. Pemasok Mittelstand berskala menengah dengan pertahanan yang lebih lemah dieksploitasi sebagai titik masuk ke perusahaan yang lebih besar.

2.1 Kekuatan Industri dengan Kekayaan Intelektual Bernilai Tinggi#

Jerman menampung merek-merek yang diakui secara global di bidang otomotif (Volkswagen, BMW, Mercedes-Benz), teknik (Siemens, Bosch), bahan kimia (BASF, Bayer), dan keuangan (Deutsche Bank, Allianz). Perusahaan-perusahaan ini menyimpan rahasia dagang, data manufaktur, alur R&D, dan catatan pelanggan. Konsentrasi IP bernilai tinggi ini menjadikan organisasi Jerman sebagai target prioritas bagi penjahat siber bermotivasi finansial dan kelompok spionase yang disponsori negara yang mencari keuntungan kompetitif.

2.2 Signifikansi Geopolitik dan Ancaman yang Disponsori Negara#

Peran Jerman di NATO, UE, dan G7 menempatkannya di garis bidik operasi yang disponsori negara. Kelompok terkait Rusia, APT28 (Fancy Bear), telah berulang kali menargetkan Bundestag dan partai-partai politik. Otoritas Jerman secara resmi mengatribusikan peretasan Bundestag 2015 ke Unit GRU 26165 Rusia pada tahun 2020. Dukungan Jerman untuk Ukraina sejak 2022 telah mengintensifkan ancaman ini, dengan beberapa kasus atribusi dikonfirmasi oleh BSI dan jaksa Jerman.

2.3 Lanskap Regulasi Kompleks dan Tantangan Mittelstand#

Jerman menegakkan GDPR melalui 16 otoritas perlindungan data tingkat negara bagian secara individu, menghasilkan lanskap pengawasan yang terfragmentasi. Mittelstand Jerman - puluhan ribu usaha kecil dan menengah - menangani data industri dan pelanggan yang sensitif tetapi sering kali kekurangan sumber daya keamanan siber kelas perusahaan. Hal ini menciptakan permukaan serangan yang luas dan tidak merata yang secara aktif dieksploitasi oleh penjahat siber melalui rantai pasokan dan vektor pihak ketiga.

3. 10 Pelanggaran Data Terbesar di Jerman#

Tabel di bawah ini merangkum sepuluh pelanggaran data terbesar di Jerman berdasarkan cakupan, tahun, dan hasil regulasi. Deskripsi kasus terperinci dan pola pencegahan mengikuti di bawah ini.

3.1 Mega-Kebocoran Kredensial Jerman (2014)#

Pada bulan April 2014, Kantor Federal Jerman untuk Keamanan Informasi (BSI) mengonfirmasi bahwa polisi di Jerman utara telah menemukan sekitar 16 juta alamat email dan kata sandi yang dicuri. Hal ini terjadi tiga bulan setelah perolehan serupa atas 16 juta kredensial yang dikompromikan, menjadikannya kebocoran kredensial terbesar dalam sejarah Jerman pada saat itu. Sekitar 3 juta kredensial milik warga negara Jerman. Data yang dicuri secara aktif digunakan untuk pembelian online tanpa izin dan penipuan identitas.

Penemuan ini menyoroti penggunaan kembali kata sandi sistemik dan kerentanan layanan online terhadap serangan berbasis kredensial. BSI meluncurkan situs pencarian publik sehingga warga dapat memeriksa apakah kredensial mereka disusupi.

Metode pencegahan:

• Terapkan MFA tahan phishing seperti passkeys untuk menghilangkan risiko penggunaan kembali kredensial
• Pantau dump kredensial web gelap dan paksa penyetelan ulang pada saat paparan

3.2 Peretasan Bundestag Jerman (2015)#

Pada bulan Mei 2015, jaringan internal Parlemen Federal Jerman diretas dalam salah satu serangan siber yang disponsori negara paling signifikan dalam sejarah Jerman. APT28 (Fancy Bear / Sofacy), sebuah unit dinas intelijen militer Rusia GRU, menggunakan email spear-phishing yang menyamar sebagai komunikasi PBB untuk menginstal malware. Para penyerang mendapatkan akses administratif, mengkompromikan lebih dari 5.000 komputer dan mengeksfiltrasi sekitar 16 GB data termasuk puluhan ribu email parlemen.

Seluruh lingkungan TI Bundestag harus dihentikan sementara dan dibangun kembali. Jerman secara resmi mengatribusikan serangan itu ke Unit GRU 26165 pada tahun 2020 dan mengeluarkan surat perintah penangkapan internasional untuk Dmitriy Badin. Insiden itu menjadi titik balik dalam kebijakan keamanan siber Jerman.

Metode pencegahan:

• Terapkan kontrol anti-phishing dan otentikasi tahan phishing untuk pengguna pemerintah
• Terapkan segmentasi jaringan dan akses hak istimewa paling rendah untuk membatasi pergerakan lateral

3.3 Kebocoran Data Politisi Jerman (2018/2019)#

Pada bulan Desember 2018, seorang mahasiswa berusia 20 tahun dari Hesse mendalangi apa yang dijuluki kebocoran data pribadi tokoh masyarakat terbesar dalam sejarah Jerman. Melalui kampanye penerbitan bergaya kalender adven di Twitter, penyerang merilis data pribadi yang dicuri dari lebih dari 1.000 politisi, jurnalis, dan selebritas Jerman, termasuk Kanselir Angela Merkel dan Presiden Frank-Walter Steinmeier. Data tersebut mencakup nomor telepon pribadi, alamat rumah, informasi kartu kredit, catatan obrolan pribadi, dan foto-foto.

Pelaku ditangkap pada Januari 2019. Dia tidak memiliki pelatihan ilmu komputer formal dan bertindak sendiri. Kasus ini mengungkap lemahnya kebersihan digital di kalangan elit politik Jerman.

Metode pencegahan:

• Terapkan MFA yang kuat di semua akun pribadi dan resmi
• Jalankan pemantauan web gelap untuk kredensial yang terekspos yang terkait dengan pejabat publik

3.4 Pelanggaran Data Knuddels.de (2018)#

Pada bulan Juli 2018, platform obrolan populer Jerman Knuddels.de diretas oleh peretas yang mengakses sekitar 1,8 juta catatan pengguna, termasuk file kata sandi yang tidak dienkripsi. Data yang dicuri diterbitkan di Pastebin dan Mega pada bulan September 2018. Pelanggaran tersebut dilacak ke server cadangan kedaluwarsa yang belum menerima pembaruan keamanan.

Pelanggaran Knuddels memicu denda GDPR pertama di Jerman: Otoritas Perlindungan Data Baden-Württemberg (LfDI) mengenakan denda sebesar 20.000 EUR karena menyimpan kata sandi dalam teks biasa, melanggar Pasal 32 GDPR. Otoritas tersebut memuji Knuddels atas transparansi dan kerja samanya, menetapkan preseden penting untuk penegakan GDPR di Jerman.

Metode pencegahan:

• Ganti penyimpanan kata sandi teks biasa dengan hashing modern (bcrypt, Argon2) atau alur tanpa kata sandi
• Tambal dan nonaktifkan sistem cadangan dan pementasan lama dengan ritme yang ketat

3.5 Pelanggaran Mastercard Priceless Specials (2019)#

Pada bulan Agustus 2019, program loyalitas Mastercard di Jerman "Priceless Specials" mengalami pelanggaran yang mengekspos informasi pribadi sekitar 90.000 anggota. Dua file data berisi nama, nomor kartu pembayaran, alamat email, alamat rumah, nomor telepon, jenis kelamin, dan tanggal lahir dipublikasikan di internet. Kata sandi, tanggal kedaluwarsa kartu, dan kode CVC tidak disertakan, tetapi data yang terekspos masih menciptakan risiko penipuan dan pencurian identitas yang signifikan.

Pelanggaran tersebut dilacak ke penyedia layanan pihak ketiga yang mengoperasikan Priceless Specials di Jerman. Mastercard menangguhkan program tersebut, menutup situs, dan memberi tahu otoritas perlindungan data Jerman dan Belgia. Puluhan pengaduan resmi menyusul, menyoroti risiko vendor pihak ketiga bahkan bagi lembaga keuangan besar.

Metode pencegahan:

• Terapkan audit keamanan, SLA pemberitahuan pelanggaran, dan persyaratan enkripsi di setiap vendor pihak ketiga
• Pantau terus platform eksternal yang memproses PII pelanggan

3.6 Pelanggaran Pengawasan Karyawan H&M (2014-2019)#

Sejak setidaknya tahun 2014, para manajer di pusat layanan H&M di Nuremberg secara sistematis mengumpulkan detail tentang kehidupan pribadi beberapa ratus karyawan. Melalui "Welcome Back Talks" setelah cuti sakit dan liburan, atasan merekam diagnosis kesehatan, masalah keluarga, keyakinan agama, dan pengalaman liburan. Data disimpan di drive jaringan yang dapat diakses oleh sekitar 50 manajer dan digunakan dalam keputusan kerja.

Praktik tersebut terungkap pada bulan Oktober 2019 setelah kesalahan konfigurasi secara singkat membuat drive tersebut terlihat di seluruh perusahaan. Pada bulan Oktober 2020, Otoritas Perlindungan Data Hamburg mengeluarkan denda sebesar 35,3 juta EUR - denda GDPR terbesar yang pernah dikenakan oleh otoritas Jerman dan salah satu denda privasi terkait ketenagakerjaan terbesar dalam sejarah Eropa.

Metode pencegahan:

• Batasi pengumpulan data karyawan pada hal-hal yang benar-benar diperlukan dan dapat diaudit
• Wajibkan pelatihan GDPR mandatori untuk manajer mana pun yang menangani catatan karyawan

3.7 Pelanggaran Data Scalable Capital (2020)#

Pada bulan Oktober 2020, pialang online yang berbasis di Munich, Scalable Capital, mengungkapkan pelanggaran yang mengekspos informasi pribadi dan keuangan sekitar 33.000 pelanggan saat ini dan sebelumnya. Tidak seperti peretasan eksternal pada umumnya, insiden tersebut merupakan kasus orang dalam: seseorang yang memiliki pengetahuan internal mengakses arsip dokumen yang menyimpan salinan dokumen identitas, data pajak, dan detail rekening bank. Data yang dicuri muncul di web gelap.

Pada bulan Desember 2021, Pengadilan Regional Munich memerintahkan Scalable Capital untuk membayar 2.500 EUR dalam bentuk kerusakan non-material kepada pelanggan yang terdampak - putusan kompensasi GDPR yang mengikat secara hukum pertama dari jenisnya di Eropa. Pengadilan menyatakan bahwa Scalable Capital telah gagal mencabut kredensial akses setelah hubungan bisnis berakhir.

Metode pencegahan:

• Terapkan kontrol akses joiner-mover-leaver yang ketat dan pencabutan kredensial segera
• Enkripsi dokumen identitas dan catatan keuangan yang disimpan serta rekam setiap akses

3.8 Serangan Ransomware Rumah Sakit Universitas Düsseldorf (2020)#

Pada tanggal 10 September 2020, Rumah Sakit Universitas Düsseldorf (UKD) mengalami serangan ransomware yang mengenkripsi sekitar 30 server dan memaksanya untuk membatalkan pendaftaran dari perawatan darurat. Para penyerang mengeksploitasi CVE-2019-19781, sebuah kerentanan Citrix yang patch-nya telah tersedia sejak Januari 2020. Ransomware tersebut terkait dengan keluarga DoppelPaymer. Seorang wanita berusia 78 tahun yang membutuhkan perawatan darurat dialihkan ke rumah sakit berjarak 30 km dan meninggal dunia setelah tertunda.

Jaksa Jerman membuka penyelidikan pembunuhan karena kelalaian, yang secara luas dilaporkan sebagai salah satu kasus pertama kematian yang berpotensi terkait dengan serangan siber. Pesan tebusan dialamatkan ke Universitas Heinrich Heine, bukan ke rumah sakit - penyerang tampaknya telah mengenai target yang salah. Ketika polisi memberi tahu mereka bahwa nyawa berisiko, mereka menarik tuntutan dan memberikan kunci dekripsi.

Metode pencegahan:

• Tambal peralatan yang menghadap internet (VPN, load balancer) dalam hitungan hari, bukan bulan
• Segmentasikan sistem klinis dari TI perusahaan dan pelihara cadangan offline yang teruji

3.9 Serangan Ransomware Motel One (2023)#

Pada bulan September 2023, jaringan hotel hemat yang berbasis di Munich, Motel One, yang mengoperasikan lebih dari 90 hotel di 13 negara, diserang oleh geng ransomware BlackCat/ALPHV. Motel One mengklaim bahwa dampak operasional dijaga pada "tingkat minimum relatif". BlackCat mengklaim telah mengekstraksi hampir 24,5 juta file dengan total sekitar 6 TB, termasuk konfirmasi pemesanan selama tiga tahun. Motel One mengonfirmasi bahwa alamat pelanggan dan 150 detail kartu kredit diakses.

Motel One melibatkan spesialis keamanan TI bersertifikat, bekerja sama dengan penegak hukum dan otoritas perlindungan data, dan secara pribadi memberi tahu 150 pemegang kartu yang terdampak. Kasus ini menyoroti paparan sektor perhotelan terhadap kumpulan data PII dengan retensi yang lama.

Metode pencegahan:

• Minimalkan periode retensi untuk data pemesanan dan pembayaran ke minimum peraturan
• Terapkan EDR dan segmentasi jaringan untuk menghentikan pergerakan lateral lebih awal

3.10 Pelanggaran Samsung Jerman via Spectos (2025)#

Pada bulan Maret 2025, pelaku ancaman yang menggunakan nama samaran "GHNA" mempublikasikan sekitar 270.000 catatan pelanggan Samsung Jerman di forum peretas populer. Data tersebut tidak berasal langsung dari Samsung melainkan dari Spectos GmbH, mitra pengukuran kualitas layanan yang berbasis di Dresden yang mengoperasikan infrastruktur tiket dukungan pelanggan Samsung Jerman. Para peneliti di Hudson Rock mengaitkan intrusi tersebut dengan kredensial infostealer yang diambil dari seorang karyawan Spectos pada tahun 2021 - kredensial yang tetap berlaku dan digunakan kembali hampir empat tahun kemudian.

Catatan tersebut mengungkap konteks dukungan pelanggan secara lengkap: nama, alamat email, alamat pengiriman, nomor pesanan, detail pelacakan, dan isi lengkap dari tiket dukungan. Kombinasi ini sangat berharga untuk kampanye phishing yang sangat dipersonalisasi yang menargetkan pelanggan Samsung. Pelanggaran tersebut saat ini merupakan kisah pelanggaran data Jerman yang paling trending di tahun 2025 dan telah memperbarui fokus regulasi terhadap kebersihan identitas rantai pasokan dan kredensial vendor yang usang.

Metode pencegahan:

• Rotasi dan kedaluwarsakan kredensial vendor pada jadwal yang ketat serta terapkan MFA tahan phishing di semua akun vendor
• Pindai secara terus-menerus untuk kredensial yang bersumber dari infostealer yang terikat pada organisasi dan rantai pasokannya

4. Cara Melaporkan Pelanggaran Data di Jerman#

Pengendali di Jerman harus melaporkan pelanggaran data pribadi ke otoritas perlindungan data negara bagian yang kompeten dalam waktu 72 jam sejak menyadarinya, menurut GDPR Pasal 33. Jika pelanggaran tersebut kemungkinan mengakibatkan risiko tinggi pada individu yang terdampak, GDPR Pasal 34 mewajibkan pemberitahuan kepada mereka tanpa penundaan yang tidak semestinya. Operator infrastruktur penting juga harus memberi tahu BSI berdasarkan Undang-Undang BSI (BSIG).

4.1 Aturan 72 Jam GDPR (Pasal 33)#

Berdasarkan GDPR Pasal 33, pengontrol harus memberi tahu otoritas pengawas yang berwenang atas pelanggaran data pribadi tidak lebih dari 72 jam setelah menyadarinya. Jika pemberitahuan tertunda, pengontrol harus memberikan alasan penundaan. Pemberitahuan harus menjelaskan sifat pelanggaran, kategori dan perkiraan jumlah individu yang terdampak, kemungkinan konsekuensi, serta tindakan yang diambil atau diusulkan.

4.2 Otoritas Kompeten: 16 DPA Negara Bagian plus BfDI#

Tidak seperti yurisdiksi yang tersentralisasi, Jerman memiliki 16 otoritas perlindungan data tingkat negara bagian (Landesdatenschutzbehörden) ditambah Komisaris Federal untuk Perlindungan Data dan Kebebasan Informasi (BfDI). DPA negara bagian tempat pendirian utama pengontrol (misalnya, DPA Hamburg untuk H&M Jerman, DPA Bavaria untuk Scalable Capital) adalah yang kompeten. Badan federal dan telekomunikasi berada di bawah naungan BfDI. Model federasi ini adalah fitur yang disengaja dalam hukum perlindungan data Jerman.

4.3 Pelaporan BSI untuk Infrastruktur Kritis (KRITIS)#

Operator infrastruktur penting (KRITIS) juga harus melaporkan "gangguan signifikan" ke Kantor Federal Keamanan Informasi (BSI) menurut Bagian 8b dari Undang-Undang BSI. Arahan NIS2, yang ditransposisikan ke dalam UU BSI pada tahun 2025, memperluas kewajiban pelaporan ke lebih banyak sektor termasuk penyedia layanan digital, manufaktur, dan pengelolaan limbah. Pelaporan mengikuti garis waktu bertahap: peringatan dini dalam 24 jam, notifikasi lengkap dalam 72 jam, dan laporan akhir dalam satu bulan.

4.4 Notifikasi Individu (Pasal 34)#

Jika suatu pelanggaran cenderung mengakibatkan risiko tinggi terhadap hak dan kebebasan individu, GDPR Pasal 34 mensyaratkan notifikasi langsung kepada orang yang terdampak dalam bahasa yang jelas dan sederhana. Kasus Knuddels, Scalable Capital, dan Motel One semuanya memicu kewajiban Pasal 34. Kegagalan untuk memberitahukan adalah pemicu umum penalti regulasi tambahan di atas pelanggaran yang mendasarinya.

5. Tren Pelanggaran Data di Jerman#

Empat pola berulang di seluruh kesepuluh kasus: operasi yang disponsori negara terhadap institusi demokrasi, kompromi pihak ketiga dan rantai pasokan, ransomware yang mencapai dampak pada keselamatan jiwa, dan hukum kasus GDPR yang menciptakan paparan keuangan yang nyata. Memahami pola-pola ini lebih dapat ditindaklanjuti daripada sekadar menghafal insiden-insiden individual.

5.1 Serangan yang Disponsori Negara Menargetkan Institusi Demokrasi#

Jerman menonjol di Eropa karena frekuensi operasi yang disponsori negara terhadap institusi politiknya. Peretasan Bundestag 2015, yang kemudian diatribusikan ke Unit GRU 26165, dan upaya berulang kali terhadap partai politik oleh APT28 menggambarkan bahwa peran geopolitik Jerman menjadikannya target prioritas spionase siber. Sejak invasi Rusia ke Ukraina pada tahun 2022, pihak berwenang Jerman telah mengonfirmasi beberapa atribusi tambahan kepada intelijen militer Rusia.

5.2 Vendor Pihak Ketiga Menjadi Titik Lemah yang Kritis#

Mastercard Priceless Specials, Scalable Capital, Motel One, dan pelanggaran Samsung / Spectos 2025 memiliki akar masalah yang sama: kompromi pada pihak ketiga, bukan pada merek utama. Bahkan perusahaan dengan program keamanan internal yang matang tetap terpapar melalui jaringan vendor mereka. Kasus Samsung Jerman khususnya mendemonstrasikan bagaimana kredensial yang dicuri dari subkontraktor bertahun-tahun sebelumnya masih dapat membuka sistem produksi.

5.3 Ransomware Menjadi Masalah yang Mengancam Nyawa#

Serangan Rumah Sakit Universitas Düsseldorf tahun 2020 menunjukkan bahwa ransomware pada infrastruktur penting adalah masalah keselamatan jiwa, bukan sekadar masalah TI atau keuangan. Rumah sakit, utilitas, dan administrasi kota di Jerman telah berulang kali ditargetkan. Serangan ini biasanya mengeksploitasi alat yang menghadap internet tanpa tambalan keamanan - kerentanan yang diketahui publik dan telah tersedia tambalannya berbulan-bulan sebelum eksploitasi terjadi.

5.4 Penegakan GDPR Mengubah Akuntabilitas#

Jerman berada di garis depan penegakan GDPR. Denda H&M 35,3 juta EUR, denda GDPR pertama yang dijatuhkan terhadap Knuddels, dan putusan kerugian non-materiil Scalable Capital yang menjadi tonggak sejarah, secara kolektif membentuk cara organisasi di seluruh Eropa melakukan perlindungan data. Walaupun Irlandia memimpin UE dalam nilai keseluruhan denda GDPR (berdasarkan survei DLA Piper 2026) dan putusan Österreichische Post dari CJEU mengonfirmasi bahwa klaim kerugian non-materiil adalah ganti rugi seluruh UE, Jerman menonjol karena kombinasi tingginya denda individu, kemauan jaksa untuk menyelidiki para eksekutif, dan semakin banyaknya klaim ganti rugi individu yang sukses.

6. Kesimpulan#

Sepuluh pelanggaran terbesar di Jerman menceritakan satu kisah yang konsisten: kredensial adalah kesamaan utamanya. Mega-kebocoran 2014, spear-phish Bundestag, kata sandi teks biasa Knuddels, orang dalam Scalable Capital, ransomware Motel One, dan insiden Samsung / Spectos 2025 semuanya bermula dari kompromi kredensial, penggunaan kembali kredensial, atau kegagalan penanganan kredensial. Denda GDPR hingga 35,3 juta EUR, rata-rata biaya pelanggaran 4,9 juta EUR, ganti rugi per pelanggan, dan penyelidikan kriminal membuat Jerman menjadi lingkungan penegakan hukum yang paling tidak kenal kompromi di UE.

Tindakan balasan yang dilakukan sama konsistennya: otentikasi tahan phishing seperti passkeys, kontrol akses joiner-mover-leaver yang ketat, rotasi kredensial vendor yang agresif, pemantauan infostealer yang berkelanjutan, dan kesiapan pemberitahuan pelanggaran dalam 72 jam. Organisasi yang menganggap hal-hal ini sebagai prioritas tingkat dewan direksi pada tahun 2026 akan menghindari baik denda regulasi maupun kerusakan reputasi yang menjadi ciri dekade terakhir pelanggaran data Jerman.

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →

Pertanyaan yang Sering Diajukan#

Apa itu pelanggaran data Samsung Jerman pada tahun 2025?#

Pada bulan Maret 2025, sekitar 270.000 catatan dukungan pelanggan Samsung Jerman bocor di forum peretas. Data tersebut berasal dari Spectos GmbH, mitra layanan pihak ketiga Samsung. Catatan tersebut mencakup nama lengkap, alamat email, alamat fisik, detail pesanan, dan isi tiket dukungan. Tim penyelidik mengaitkan paparan tersebut dengan kredensial infostealer yang dicuri pada tahun 2021 yang digunakan kembali beberapa tahun kemudian untuk mengakses sistem Spectos.

Bagaimana cara melaporkan pelanggaran data di Jerman?#

Menurut Pasal 33 GDPR, pengendali di Jerman harus melaporkan pelanggaran data pribadi ke otoritas perlindungan data negara bagian yang kompeten dalam waktu 72 jam setelah menyadarinya. Jika pelanggaran tersebut berpotensi menimbulkan risiko tinggi, Pasal 34 mewajibkan notifikasi kepada individu yang terdampak tanpa penundaan. Operator infrastruktur penting juga harus memberi tahu BSI sesuai dengan Undang-Undang BSI.

Apa denda GDPR terbesar yang pernah dikeluarkan di Jerman?#

Otoritas Perlindungan Data Hamburg mendenda H&M sebesar 35,3 juta EUR pada Oktober 2020 karena pengawasan sistematis terhadap ratusan karyawan di pusat layanannya di Nuremberg. Denda tersebut merupakan denda GDPR terbesar yang pernah dijatuhkan oleh otoritas Jerman dan salah satu denda privasi terkait pekerjaan terbesar yang dikeluarkan di Eropa.

Berapa biaya pelanggaran data di Jerman?#

Menurut Laporan Biaya Pelanggaran Data IBM 2024, rata-rata biaya pelanggaran data di Jerman adalah 4,9 juta EUR (sekitar 5,31 juta USD). Hal ini menempatkan Jerman di antara lima negara termahal di dunia untuk insiden pelanggaran data, di atas rata-rata global sebesar 4,88 juta USD.

Otoritas Jerman manakah yang menegakkan GDPR?#

Jerman menegakkan GDPR melalui 16 otoritas perlindungan data tingkat negara bagian (Landesdatenschutzbehörden) ditambah Komisaris Federal untuk Perlindungan Data dan Kebebasan Informasi (BfDI) untuk badan federal dan telekomunikasi. Otoritas yang berwenang ditentukan berdasarkan pendirian utama pengontrol di Jerman.