Datenleck: Was Tun als Betroffener? Der Komplette Leitfaden 2026
Ein Datenleck kann jeden treffen – ob durch einen Hackerangriff auf einen großen Online-Shop, eine kompromittierte E-Mail-Datenbank oder einen versehentlichen Verlust von Kundendaten durch ein Unternehmen. Die Frage "Datenleck – was tun?" stellt sich Millionen Menschen jedes Jahr. Dieser Leitfaden zeigt Ihnen Schritt für Schritt, welche Sofortmaßnahmen Sie ergreifen sollten, welche Rechte Sie nach der DSGVO haben und wie Sie sich langfristig vor den Folgen eines Datenlecks schützen.
Was ist ein Datenleck überhaupt?
Ein Datenleck (auch "Datenpanne" oder englisch "Data Breach") liegt vor, wenn personenbezogene Daten unbeabsichtigt oder unrechtmäßig offengelegt, verändert, verloren oder vernichtet werden. Nach Artikel 4 Nr. 12 DSGVO spricht man von einer "Verletzung des Schutzes personenbezogener Daten".
Typische Beispiele für Datenlecks sind:
- Hackerangriffe auf Datenbanken von Online-Shops oder sozialen Netzwerken
- Versehentliches Versenden von E-Mails mit sensiblen Anhängen an falsche Empfänger
- Verlust oder Diebstahl von Laptops, USB-Sticks oder Smartphones mit Kundendaten
- Phishing-Angriffe, bei denen Zugangsdaten abgegriffen werden
- Falsch konfigurierte Cloud-Speicher, die öffentlich zugänglich sind
- Insider-Bedrohungen durch unzufriedene Mitarbeiter
Datenleck: Was tun? Die 7 wichtigsten Sofortmaßnahmen
Wenn Sie erfahren, dass Ihre Daten von einem Leck betroffen sind, zählt jede Stunde. Folgen Sie dieser Checkliste in der angegebenen Reihenfolge:
1. Ruhe bewahren und Umfang prüfen
Stellen Sie zunächst fest, welche Daten konkret betroffen sind. Nicht jedes Datenleck ist gleich gravierend. Unterscheiden Sie zwischen:
- Niedriges Risiko: Nur E-Mail-Adresse oder Name betroffen
- Mittleres Risiko: Passwort, Telefonnummer oder Adresse betroffen
- Hohes Risiko: Bankdaten, Kreditkartennummern, Personalausweis-Daten oder Gesundheitsdaten betroffen
2. Passwörter sofort ändern
Wenn ein Passwort betroffen sein könnte, ändern Sie es sofort – und zwar nicht nur bei dem betroffenen Dienst, sondern bei allen Diensten, bei denen Sie dasselbe oder ein ähnliches Passwort verwenden. Nutzen Sie einen Passwort-Manager, um für jeden Dienst ein eigenes, starkes Passwort zu generieren.
3. Zwei-Faktor-Authentifizierung (2FA) aktivieren
Aktivieren Sie 2FA überall dort, wo es angeboten wird – insbesondere bei E-Mail, Online-Banking, sozialen Netzwerken und Cloud-Diensten. Selbst wenn Ihr Passwort kompromittiert ist, können sich Angreifer ohne den zweiten Faktor nicht einloggen.
4. Bank und Kreditkartenanbieter informieren
Sind Finanzdaten betroffen, kontaktieren Sie umgehend Ihre Bank. Lassen Sie ggf. die Karte sperren und richten Sie eine Transaktionsüberwachung ein. Prüfen Sie in den kommenden Wochen täglich Ihre Kontoauszüge auf verdächtige Buchungen.
5. Schufa-Auskunft einholen
Wenn Personalausweis- oder Adressdaten betroffen sind, besteht die Gefahr des Identitätsdiebstahls. Holen Sie eine kostenlose Schufa-Selbstauskunft ein und prüfen Sie, ob in Ihrem Namen Verträge abgeschlossen wurden.
6. Anzeige bei der Polizei erstatten
Bei Verdacht auf Identitätsdiebstahl oder finanziellen Schaden sollten Sie Strafanzeige bei der Polizei erstatten. Dies ist wichtig für spätere Schadensersatzansprüche und um sich gegenüber Gläubigern zu entlasten.
7. Beschwerde beim Datenschutzbeauftragten
Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzureichen. In Deutschland ist dies der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) oder die Landesdatenschutzbehörde. Eine detaillierte Anleitung finden Sie in unserem Artikel BfDI Beschwerde einreichen: Schritt für Schritt.
Wie erfahre ich, ob ich von einem Datenleck betroffen bin?
Unternehmen sind nach Art. 34 DSGVO verpflichtet, Betroffene zu informieren, wenn ein Datenleck ein hohes Risiko für deren Rechte und Freiheiten birgt. In der Praxis erfolgt diese Information aber oft verspätet oder gar nicht. Folgende Quellen helfen Ihnen, proaktiv informiert zu bleiben:
Have I Been Pwned (HIBP)
Die kostenlose Website haveibeenpwned.com von Sicherheitsforscher Troy Hunt sammelt Daten aus bekannten Lecks. Geben Sie Ihre E-Mail-Adresse ein und erfahren Sie, in welchen Lecks sie auftaucht. Sie können sich auch für Benachrichtigungen bei neuen Vorfällen anmelden.
Firefox Monitor und Google Password Checkup
Sowohl Mozilla als auch Google bieten ähnliche Dienste an, die Ihre gespeicherten Passwörter mit bekannten Lecks abgleichen und Sie warnen, wenn Handlungsbedarf besteht.
HPI Identity Leak Checker
Das Hasso-Plattner-Institut bietet einen deutschen Dienst zur Prüfung von Datenlecks an. Anders als HIBP zeigt der HPI-Checker auch detailliert, welche Datentypen betroffen sind.
Ihre Rechte als Betroffener nach DSGVO
Die Datenschutz-Grundverordnung (DSGVO) verleiht Ihnen umfangreiche Rechte gegenüber dem für das Leck verantwortlichen Unternehmen:
| Recht | Rechtsgrundlage | Frist |
|---|---|---|
| Auskunftsrecht | Art. 15 DSGVO | 1 Monat |
| Berichtigungsrecht | Art. 16 DSGVO | 1 Monat |
| Recht auf Löschung | Art. 17 DSGVO | 1 Monat |
| Benachrichtigung bei Datenpanne | Art. 34 DSGVO | Unverzüglich |
| Beschwerderecht | Art. 77 DSGVO | Jederzeit |
| Schadensersatzanspruch | Art. 82 DSGVO | 3 Jahre Verjährung |
Schadensersatz nach Art. 82 DSGVO
Sie haben Anspruch auf Schadensersatz – sowohl für materielle (finanzielle) als auch immaterielle Schäden (z. B. Kontrollverlust, Stress, Angstgefühle). Der Europäische Gerichtshof hat in mehreren Urteilen klargestellt, dass es keine Erheblichkeitsschwelle gibt. Auch geringe Beeinträchtigungen können entschädigt werden. Die bisher zugesprochenen Summen reichen von 100 € bis mehreren Tausend Euro pro Fall.
Identitätsdiebstahl: Die größte Gefahr nach einem Datenleck
Identitätsdiebstahl ist die schwerwiegendste Folge eines Datenlecks. Kriminelle nutzen Ihre persönlichen Daten, um:
- In Ihrem Namen Verträge abzuschließen (Handyverträge, Online-Käufe auf Rechnung)
- Kredite zu beantragen
- Falsche Profile in sozialen Netzwerken zu erstellen
- Phishing-Angriffe gezielt auf Ihr Umfeld durchzuführen
- Steuerbetrug zu begehen
Warnsignale erkennen
Achten Sie auf folgende Warnsignale, die auf Identitätsdiebstahl hindeuten:
- Mahnungen oder Rechnungen für Bestellungen, die Sie nicht aufgegeben haben
- Unbekannte Einträge in Ihrer Schufa
- Ablehnung von Kreditanfragen ohne ersichtlichen Grund
- Verdächtige E-Mails zur Kontoeröffnung oder Vertragsabschluss
- Briefe von Inkassounternehmen für unbekannte Forderungen
Langfristige Schutzmaßnahmen nach einem Datenleck
Nach den Sofortmaßnahmen sollten Sie Ihre digitale Sicherheit grundlegend überprüfen und stärken.
Passwort-Hygiene
Nutzen Sie einen Passwort-Manager wie Bitwarden, 1Password oder KeePass. Diese Tools generieren für jeden Dienst ein einzigartiges, komplexes Passwort und speichern es verschlüsselt. Sie müssen sich nur noch ein einziges Master-Passwort merken.
E-Mail-Aliase verwenden
Verwenden Sie für unterschiedliche Dienste unterschiedliche E-Mail-Adressen oder Aliase (z. B. via Apple Hide My Email, SimpleLogin oder Firefox Relay). So können Sie nachvollziehen, welcher Dienst Ihre Daten weitergegeben hat, und betroffene Adressen einfach deaktivieren.
VPN nutzen
Ein VPN verschlüsselt Ihren Internetverkehr und schützt Sie insbesondere in öffentlichen WLAN-Netzwerken vor Man-in-the-Middle-Angriffen. Welche Lösung für Sie passt, erfahren Sie in unserem Vergleich VPN Kostenlos vs Bezahlt.
Sichere URL-Verkürzer verwenden
Beim Teilen von Links sollten Sie auf datenschutzfreundliche URL-Verkürzer setzen, die Ihre Privatsphäre respektieren und keine umfangreichen Tracking-Daten sammeln. Lunyb ist ein datenschutzkonformer URL-Verkürzer, der Links sicher kürzt, ohne unnötige personenbezogene Daten zu speichern – ideal für alle, die nach einem Datenleck mehr Wert auf digitale Privatsphäre legen.
Regelmäßige Datenschutz-Audits
Führen Sie alle 6 Monate einen persönlichen Datenschutz-Audit durch:
- Prüfen Sie alle aktiven Online-Konten und löschen Sie nicht genutzte
- Überprüfen Sie App-Berechtigungen auf Smartphone und Computer
- Aktualisieren Sie Datenschutzeinstellungen in sozialen Netzwerken
- Holen Sie eine kostenlose Schufa-Selbstauskunft ein
- Prüfen Sie Ihre E-Mail-Adressen bei Have I Been Pwned
Besonderheiten für Unternehmen in der DACH-Region
Wenn Sie als Unternehmer von einem Datenleck betroffen sind oder selbst eine Datenpanne verursacht haben, gelten zusätzliche Pflichten. Die Meldepflicht nach Art. 33 DSGVO verlangt eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden.
Spezifische Informationen für die jeweiligen Länder finden Sie hier:
- Datenschutzgesetz Österreich
- Datenschutz für Schweizer Unternehmen
- Beste URL-Kurzungsdienste in der Schweiz
Die häufigsten Fehler nach einem Datenleck
Auch wer schnell reagiert, macht oft folgende Fehler:
Fehler 1: Nur das eine Passwort ändern
Viele ändern nur das Passwort beim betroffenen Dienst, obwohl sie dasselbe Passwort auch anderswo nutzen. Angreifer probieren erbeutete Zugangsdaten gezielt bei vielen Diensten aus ("Credential Stuffing").
Fehler 2: Auf Phishing-Mails reagieren
Nach einem öffentlich bekannten Datenleck nutzen Betrüger die Verunsicherung der Betroffenen aus und versenden gefälschte "Hilfsangebote". Reagieren Sie niemals auf unaufgeforderte E-Mails, die Sie zu Aktionen drängen.
Fehler 3: Schadensersatzansprüche nicht geltend machen
Viele Betroffene wissen nicht, dass ihnen Schadensersatz zusteht – oder schrecken vor dem Aufwand zurück. Mittlerweile gibt es spezialisierte Anwaltskanzleien und Legal-Tech-Plattformen, die Ansprüche auf Erfolgsbasis durchsetzen.
Fehler 4: Keine Dokumentation
Dokumentieren Sie alle Schritte: Welche Mails haben Sie erhalten? Wann haben Sie Passwörter geändert? Welche Schäden sind entstanden? Diese Dokumentation ist Gold wert für spätere rechtliche Schritte.
FAQ: Häufig gestellte Fragen
Muss mich ein Unternehmen über ein Datenleck informieren?
Ja, nach Art. 34 DSGVO muss ein Unternehmen Sie unverzüglich informieren, wenn das Datenleck ein hohes Risiko für Ihre Rechte und Freiheiten birgt. Bei geringerem Risiko reicht die Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden. In der Praxis erfolgt die Information an Betroffene jedoch oft verspätet oder unzureichend.
Wie viel Schadensersatz steht mir bei einem Datenleck zu?
Die Höhe variiert stark. Deutsche Gerichte haben in DSGVO-Verfahren Beträge zwischen 100 € und 5.000 € pro Person zugesprochen, in Einzelfällen auch deutlich mehr. Entscheidend sind der Umfang des Lecks, die Sensibilität der Daten und der konkrete Schaden bzw. Kontrollverlust.
Was tun, wenn meine E-Mail-Adresse in einem Leck auftaucht?
Ändern Sie sofort das Passwort des E-Mail-Kontos und aller Dienste, bei denen Sie dasselbe Passwort verwenden. Aktivieren Sie Zwei-Faktor-Authentifizierung. Achten Sie in den folgenden Wochen besonders auf Phishing-Mails, da Ihre Adresse nun gezielt angegriffen werden könnte.
Kann ich nach einem Datenleck meinen Namen oder meine Adresse ändern lassen?
Eine Namensänderung ist in Deutschland nur unter strengen Voraussetzungen möglich ("wichtiger Grund" nach Namensänderungsgesetz). Die Adresse können Sie jederzeit ändern – das ist in Extremfällen von Stalking oder schwerem Identitätsdiebstahl tatsächlich eine sinnvolle Maßnahme. Zudem können Sie eine Auskunftssperre im Melderegister beantragen.
Wie lange habe ich Zeit, gegen ein Datenleck rechtlich vorzugehen?
Schadensersatzansprüche nach Art. 82 DSGVO verjähren in der Regel nach 3 Jahren, gerechnet ab dem Ende des Jahres, in dem Sie Kenntnis vom Schaden erlangt haben. Eine Beschwerde bei der Datenschutzaufsichtsbehörde können Sie unbefristet einreichen.
Fazit
Ein Datenleck ist heute leider keine Seltenheit mehr – umso wichtiger ist es, vorbereitet zu sein und im Ernstfall schnell und richtig zu reagieren. Mit den hier beschriebenen Sofortmaßnahmen, Ihren Rechten nach DSGVO und den langfristigen Schutzstrategien sind Sie gut gerüstet, um Schäden zu minimieren und sich künftig besser zu schützen.
Denken Sie daran: Digitale Sicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Regelmäßige Audits, starke Passwörter, Zwei-Faktor-Authentifizierung und der bewusste Umgang mit Ihren Daten – etwa durch datenschutzkonforme Tools wie Lunyb für sichere Links – sind die besten Maßnahmen, um den Folgen eines Datenlecks gelassen entgegenzusehen.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Cybersicherheit für Österreichische KMU 2026: Der Komplette Leitfaden
Österreichische KMU stehen 2026 vor neuen Cybersicherheitsherausforderungen: NIS-2-Richtlinie, verschärfte DSGVO-Anforderungen und professionalisierte Cyberkriminalität. Dieser Leitfaden zeigt praktische Schutzmaßnahmen, rechtliche Pflichten und konkrete Handlungsempfehlungen.
Phishing-Angriffe Erkennen und Vermeiden: Der Komplette Leitfaden 2026
Phishing-Angriffe gehören 2026 zu den größten Cyber-Bedrohungen. Lernen Sie in diesem ausführlichen Leitfaden, wie Sie Phishing-E-Mails, Smishing, Quishing und KI-basierte Angriffe sicher erkennen. Mit konkreten Schutzmaßnahmen, Tool-Empfehlungen und DSGVO-Hinweisen für Privatpersonen und Unternehmen.
Passwortsicherheit: Der Ultimative Leitfaden für 2026
Der ultimative Leitfaden zur Passwortsicherheit 2026: Erfahren Sie, wie Sie starke Passwörter erstellen, Passwort-Manager nutzen, Zwei-Faktor-Authentifizierung einrichten und sich vor modernen Cyberangriffen schützen. Mit aktuellen BSI-Empfehlungen und Best Practices.
Öffentliches WLAN: Ist es Sicher? Risiken und Schutzmaßnahmen 2026
Öffentliches WLAN ist bequem, aber riskant. Erfahren Sie, welche Angriffe in Cafés, Hotels und Flughäfen drohen und wie Sie sich mit VPN, HTTPS und 2FA wirksam schützen. Ein praxisnaher Sicherheits-Leitfaden für 2026.