Ein Sicherheitsvorfall erschüttert das Vertrauen in das KI-Recruiting-Startup Mercor: Nach einem Datenleck sieht sich das mit rund zehn Milliarden US-Dollar bewertete Unternehmen mit Klagen, Kundenverlusten und grundlegenden Fragen zur Reife seiner Infrastruktur konfrontiert.
Datenpanne bei Mercor: KI-Recruiting-Startup mit Milliardenbewertung unter Druck
Angriff und Datenverlust
Mercor betreibt eine KI-gestützte Plattform zur Personalvermittlung, die Unternehmen mit Freelancern und Fachkräften zusammenbringt. Im Zuge des Sicherheitsvorfalls verschafften sich Angreifer Zugang zu sensiblen Nutzerdaten. Details zur genauen Angriffsmethode und zum Umfang der abgeflossenen Informationen wurden bislang nicht vollständig offengelegt. Bekannt ist, dass das Unternehmen im Nachgang des Vorfalls rechtliche Schritte von betroffenen Parteien hinnehmen musste.
Kundenverluste und Reputationsschaden
Laut TechCrunch hat Mercor infolge des Vorfalls mehrere bedeutende Unternehmenskunden verloren. Das ist für ein Startup in dieser Wachstumsphase besonders heikel: Die Plattform lebt davon, dass Unternehmen ihr Vertrauen – und die Daten ihrer Bewerber sowie internen Prozesse – in die Hände eines Drittanbieters legen.
Ein öffentlich gewordener Sicherheitsvorfall untergräbt genau dieses Fundament.
Bewertung und Infrastruktur klaffen auseinander
Der Fall wirft grundsätzliche Fragen zur Reife schnell wachsender KI-Startups auf. Eine Bewertung von zehn Milliarden Dollar signalisiert Investoren und dem Markt, dass ein Unternehmen über ausgereifte Strukturen verfügt. Sicherheitsvorfälle dieser Art deuten jedoch darauf hin, dass interne Governance, Datenschutzarchitektur und Incident-Response-Prozesse mit dem Wachstumstempo nicht Schritt gehalten haben.
Dieses Muster ist in der Startup-Welt nicht neu, trifft aber im KI-Segment besonders hart – denn die Systeme verarbeiten häufig besonders schutzwürdige Daten wie Lebensläufe, Gehaltsvorstellungen oder Bewerbungsunterlagen.
Rechtlicher Druck steigt
Klagen nach Datenpannen sind in den USA inzwischen Standardreaktion betroffener Nutzer und ihrer Anwälte. Für Mercor bedeutet das neben dem Reputationsschaden auch erhebliche finanzielle und operative Belastungen. Sammelklagen im Technologiebereich können sich über Jahre hinziehen und erhebliche Ressourcen binden – in einer Phase, in der das Unternehmen eigentlich weiter skalieren will.
Ob und inwiefern auch europäische Nutzer oder Kunden von dem Vorfall betroffen sind, ist derzeit nicht bekannt. Für Unternehmen, die der Datenschutz-Grundverordnung unterliegen, wäre ein solcher Vorfall mit weitreichenderen Meldepflichten und möglichen Bußgeldern verbunden.
Einordnung für deutsche Unternehmen
Der Fall Mercor ist ein praktisches Beispiel für ein bekanntes Risiko: Hohe Bewertungen und schnelles Wachstum sagen wenig über die Sicherheitsreife eines Anbieters aus. Wer KI-gestützte HR- oder Recruiting-Plattformen einsetzt, sollte vor Vertragsabschluss gezielt nach folgenden Punkten fragen:
- Zertifizierungen wie ISO 27001
- Regelmäßige Penetrationstests
- Klar definierte Incident-Response-Prozesse
Gerade im Personalbereich fließen besonders sensible Daten – und im Ernstfall haftet nach DSGVO auch das deutsche Unternehmen als Auftraggeber. Die Sorgfaltspflicht bei der Auswahl von Drittanbietern bleibt unabhängig von deren Marktbewertung bestehen.
Quelle: TechCrunch AI