Datenleck: Was tun als Betroffener? Der Notfallplan 2026
Ihre Daten wurden geleakt – und jetzt? Ob durch einen gehackten Online-Shop, einen kompromittierten E-Mail-Anbieter oder ein Datenleck bei Ihrem Arbeitgeber: Jeden Tag geraten Millionen personenbezogener Datensätze in falsche Hände. Dieser Leitfaden zeigt Ihnen Schritt für Schritt, was Sie als Betroffener jetzt tun müssen, welche Rechte Sie nach der DSGVO haben und wie Sie sich vor den Folgen schützen.
Was ist ein Datenleck? Eine kurze Definition
Ein Datenleck (auch Datenpanne oder Data Breach genannt) ist die unbeabsichtigte oder rechtswidrige Offenlegung, Zerstörung, Veränderung oder der unbefugte Zugriff auf personenbezogene Daten. Gemäß Artikel 4 Nr. 12 DSGVO liegt eine "Verletzung des Schutzes personenbezogener Daten" vor, sobald die Vertraulichkeit, Integrität oder Verfügbarkeit Ihrer Daten verletzt wurde.
Typische Arten von Datenlecks
- Hackerangriffe: Cyberkriminelle dringen in Datenbanken ein und stehlen Kundendaten.
- Phishing: Angreifer erbeuten Zugangsdaten durch gefälschte E-Mails oder Webseiten.
- Menschliches Versagen: Falsch versendete E-Mails, verlorene Laptops, fehlerhafte Konfigurationen.
- Insider-Angriffe: Mitarbeiter geben Daten unbefugt weiter.
- Ransomware: Daten werden verschlüsselt und teilweise im Darknet veröffentlicht.
Woran erkenne ich, dass ich von einem Datenleck betroffen bin?
Häufig erfahren Betroffene erst Wochen oder Monate nach einem Vorfall davon. Nach Artikel 34 DSGVO sind Unternehmen verpflichtet, Sie bei hohem Risiko unverzüglich zu informieren. Doch nicht jedes Leck wird gemeldet. Diese Anzeichen deuten darauf hin, dass Ihre Daten kompromittiert wurden:
- Sie erhalten eine offizielle Benachrichtigung des betroffenen Unternehmens.
- Ungewöhnliche Login-Versuche oder Sicherheitswarnungen Ihrer Konten.
- Plötzlich vermehrt Spam, Phishing-Mails oder unbekannte Newsletter.
- Unbekannte Abbuchungen auf Ihrem Bankkonto oder Ihrer Kreditkarte.
- Mahnungen für Bestellungen, die Sie nie getätigt haben.
- Treffer in Diensten wie "Have I Been Pwned" oder dem HPI Identity Leak Checker.
Diese Tools helfen bei der Überprüfung
Mit folgenden kostenlosen Diensten können Sie schnell prüfen, ob Ihre E-Mail-Adresse oder Telefonnummer Teil eines bekannten Lecks ist:
- Have I Been Pwned (haveibeenpwned.com) – größte internationale Datenbank.
- HPI Identity Leak Checker des Hasso-Plattner-Instituts.
- Firefox Monitor (basiert auf HIBP, integriert in den Browser).
Datenleck – was tun? Die 10 Sofortmaßnahmen
Reagieren Sie schnell, aber überlegt. Folgender Notfallplan minimiert den Schaden:
- Passwort sofort ändern: Beim betroffenen Dienst und überall, wo Sie dasselbe Passwort verwendet haben.
- Zwei-Faktor-Authentifizierung (2FA) aktivieren: Idealerweise per Authenticator-App, nicht per SMS.
- Alle aktiven Sitzungen beenden: Loggen Sie sich auf allen Geräten aus und neu ein.
- Bank und Kreditkarte informieren: Bei Verdacht auf Finanzdaten-Leck umgehend sperren lassen.
- Schufa-Auskunft anfordern: Prüfen Sie auf unbekannte Einträge oder Verträge.
- E-Mail-Konten absichern: Das E-Mail-Konto ist der Generalschlüssel – höchste Priorität.
- Vorfall dokumentieren: Screenshots, E-Mails und Zeitpunkte schriftlich festhalten.
- Anzeige erstatten: Bei Identitätsdiebstahl oder Vermögensschaden bei der Polizei.
- Aufsichtsbehörde informieren: Beschwerde bei BfDI oder Landesdatenschutzbehörde.
- Auskunft nach Art. 15 DSGVO verlangen: Vom Unternehmen detaillierte Informationen einfordern.
Ihre Rechte nach der DSGVO bei einem Datenleck
Die Datenschutz-Grundverordnung gibt Ihnen als Betroffenem starke Rechte. Diese sollten Sie kennen und konsequent durchsetzen:
| Recht | Artikel DSGVO | Was es bedeutet |
|---|---|---|
| Auskunftsrecht | Art. 15 | Welche Daten wurden verarbeitet und gespeichert? |
| Recht auf Berichtigung | Art. 16 | Falsche Daten müssen korrigiert werden. |
| Recht auf Löschung | Art. 17 | "Recht auf Vergessenwerden" der eigenen Daten. |
| Recht auf Einschränkung | Art. 18 | Verarbeitung muss pausiert werden. |
| Recht auf Datenübertragbarkeit | Art. 20 | Daten in strukturiertem Format erhalten. |
| Benachrichtigungspflicht | Art. 34 | Bei hohem Risiko muss das Unternehmen Sie informieren. |
| Schadensersatzanspruch | Art. 82 | Materieller und immaterieller Schaden ersatzfähig. |
Schadensersatz bei Datenleck: Was steht Ihnen zu?
Der Europäische Gerichtshof (EuGH) hat in mehreren Urteilen 2023 und 2024 klargestellt: Bereits der bloße Kontrollverlust über Ihre Daten und die damit verbundene Sorge können einen immateriellen Schaden begründen. Typische Schadensersatzsummen bei deutschen Gerichten liegen zwischen 100 und 5.000 Euro – in Einzelfällen deutlich höher. Sammelklagen über spezialisierte Legal-Tech-Anbieter erleichtern die Durchsetzung.
Spezialfälle: Welche Daten sind betroffen?
1. Passwort und Zugangsdaten geleakt
Dies ist der häufigste und gefährlichste Fall. Ändern Sie das Passwort sofort und überall, wo Sie es wiederverwendet haben. Nutzen Sie künftig einen Passwort-Manager und für jeden Dienst ein einzigartiges, starkes Passwort. Detaillierte Tipps finden Sie in unserem ultimativen Leitfaden zur Passwortsicherheit 2026.
2. Bank- und Kreditkartendaten geleakt
Sperren Sie die Karte sofort über die zentrale Sperrhotline 116 116 (in Deutschland kostenfrei). Informieren Sie Ihre Bank schriftlich und prüfen Sie Kontoauszüge der letzten 90 Tage. Unautorisierte Abbuchungen können Sie innerhalb von 8 Wochen ohne Begründung zurückbuchen lassen.
3. Personalausweisdaten geleakt
Besonders kritisch, da diese Daten für Identitätsdiebstahl missbraucht werden können. Erstatten Sie Anzeige, hinterlegen Sie einen Sperrvermerk bei der Schufa und prüfen Sie regelmäßig Auskünfte bei Wirtschaftsauskunfteien (Schufa, Creditreform, Crif). In schweren Fällen kann ein neuer Personalausweis sinnvoll sein.
4. Gesundheitsdaten geleakt
Gesundheitsdaten gehören zu den "besonderen Kategorien" nach Art. 9 DSGVO und genießen erhöhten Schutz. Schadensersatzsummen fallen hier typischerweise höher aus. Informieren Sie Ihre Krankenkasse und behandelnde Ärzte.
Wie Sie Beschwerde bei der Datenschutzbehörde einreichen
Jeder EU-Bürger kann eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einreichen. Das ist kostenlos und formlos möglich:
- Zuständige Behörde finden: Bei länderübergreifenden Vorfällen ist der BfDI zuständig, sonst die Landesdatenschutzbehörde Ihres Bundeslandes.
- Beschwerde formulieren: Beschreiben Sie den Vorfall, das betroffene Unternehmen und Ihre Rechte als Betroffener.
- Beweise beifügen: E-Mails, Screenshots, Korrespondenz mit dem Unternehmen.
- Online einreichen: Die meisten Behörden bieten Online-Formulare an.
- Auf Antwort warten: Bearbeitungszeit beträgt häufig mehrere Monate.
Für Betroffene in der Schweiz
In der Schweiz greift seit September 2023 das revidierte Datenschutzgesetz (revDSG). Zuständig ist der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter). Mehr dazu erfahren Sie in unserem Artikel DSG: Das Schweizer Datenschutzgesetz einfach erklärt.
Langfristiger Schutz: So minimieren Sie das Risiko künftiger Datenlecks
Nach einem Datenleck ist vor dem nächsten Datenleck. Mit diesen Maßnahmen reduzieren Sie Ihre Angriffsfläche nachhaltig:
Technische Schutzmaßnahmen
- Passwort-Manager nutzen: Bitwarden, KeePassXC oder 1Password generieren und speichern einzigartige Passwörter.
- Zwei-Faktor-Authentifizierung überall: Besonders bei E-Mail, Banking und sozialen Netzwerken.
- Verschiedene E-Mail-Aliase: Dienste wie SimpleLogin oder AnonAddy bieten Wegwerf-Adressen.
- Verschlüsseltes DNS: DNS-over-HTTPS (DoH) verhindert Mitlesen Ihrer Anfragen.
- Sichere Browser: Firefox mit strengen Datenschutzeinstellungen oder Brave.
- Regelmäßige Updates: Betriebssystem, Browser und Apps stets aktuell halten.
Organisatorische Schutzmaßnahmen
- Datensparsamkeit: Geben Sie nur Daten an, die wirklich notwendig sind.
- Tracking-freie Tools: Wenn Sie Links teilen, nutzen Sie datenschutzfreundliche Dienste wie Lunyb, die DSGVO-konform arbeiten und keine unnötigen Daten sammeln.
- Regelmäßige Datenchecks: Einmal im Quartal Have I Been Pwned prüfen.
- Backup-Strategie: 3-2-1-Regel für wichtige Daten.
- Kreditbericht abonnieren: Manche Schufa-Tarife informieren über Änderungen.
Häufige Fehler nach einem Datenleck
Diese Fehler sollten Sie unbedingt vermeiden:
- Auf Phishing-Mails reagieren: Angreifer nutzen Datenlecks für gezieltes Spear-Phishing. Klicken Sie nie auf Links in unaufgeforderten E-Mails.
- Nur ein Passwort ändern: Wenn Sie Passwörter mehrfach verwenden, müssen Sie überall ändern.
- Vorfall ignorieren: Die Folgen treten oft erst Monate später auf.
- Keine Dokumentation: Ohne Beweise scheitern Schadensersatzansprüche.
- Vorschnell Geld zahlen: Bei Erpressungsversuchen niemals zahlen, immer Anzeige erstatten.
Datenleck bei KI-Diensten: Eine neue Gefahr
Mit dem rasanten Aufstieg von KI-Tools wie ChatGPT entstehen neue Risiken. Nutzer geben oft sensible Daten in Prompts ein, die später Teil von Trainingsdaten oder Datenlecks werden können. Der EU AI Act setzt hier neue Standards. Lesen Sie mehr dazu in unserem Beitrag KI und Datenschutz 2026.
Wann lohnt sich anwaltliche Hilfe?
In folgenden Fällen sollten Sie einen auf Datenschutzrecht spezialisierten Anwalt konsultieren:
- Bei nachweisbarem finanziellem Schaden über 500 Euro.
- Bei Identitätsdiebstahl mit weitreichenden Folgen.
- Bei großen Datenlecks mit Sammelklage-Option (z. B. Facebook, Deezer, Twitter).
- Wenn das Unternehmen Ihre Auskunftsanfrage nach Art. 15 DSGVO ignoriert.
- Bei Veröffentlichung von Gesundheits- oder besonders sensiblen Daten.
Viele Anwälte arbeiten bei DSGVO-Fällen mit Erfolgshonorar oder die Rechtsschutzversicherung übernimmt die Kosten. Auch Legal-Tech-Plattformen wie EUGD oder Helpcheck bieten unkomplizierte Online-Lösungen.
FAQ: Häufige Fragen zu Datenlecks
Wie schnell muss ich nach einem Datenleck reagieren?
Sofort. Die ersten 24 Stunden sind entscheidend, insbesondere bei kompromittierten Zugangsdaten oder Finanzinformationen. Ändern Sie umgehend Passwörter und aktivieren Sie 2FA. Bei Finanzdaten kontaktieren Sie sofort Ihre Bank über die Sperrhotline 116 116.
Bekomme ich automatisch Schadensersatz, wenn meine Daten geleakt wurden?
Nein, Schadensersatz müssen Sie aktiv geltend machen. Der EuGH hat 2023 entschieden, dass bereits der Kontrollverlust einen immateriellen Schaden begründen kann. Sie müssen den Anspruch jedoch außergerichtlich gegenüber dem Unternehmen oder gerichtlich durchsetzen. Typische Beträge liegen zwischen 100 und 5.000 Euro.
Muss mich ein Unternehmen über ein Datenleck informieren?
Ja, gemäß Art. 34 DSGVO besteht eine Benachrichtigungspflicht, wenn ein hohes Risiko für Ihre Rechte und Freiheiten besteht. Zusätzlich muss das Unternehmen die zuständige Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden informieren (Art. 33 DSGVO). Bei Verstößen drohen empfindliche Bußgelder.
Was kostet die Beschwerde bei der Datenschutzbehörde?
Die Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde (BfDI oder Landesbehörde) ist kostenlos. Sie können diese formlos online oder schriftlich einreichen. Die Behörde prüft den Vorfall, kann Bußgelder verhängen, ersetzt aber keinen eigenen Schadensersatzanspruch – diesen müssen Sie zivilrechtlich verfolgen.
Wie kann ich mich präventiv vor Datenlecks schützen?
Ein hundertprozentiger Schutz ist unmöglich, da Sie auf die Sicherheit der Unternehmen angewiesen sind, denen Sie Ihre Daten anvertrauen. Sie können das Risiko jedoch minimieren: Nutzen Sie für jeden Dienst ein einzigartiges Passwort, aktivieren Sie überall 2FA, verwenden Sie E-Mail-Aliase, geben Sie nur notwendige Daten preis und prüfen Sie regelmäßig Have I Been Pwned. Für sichere Linkverkürzung empfehlen wir datenschutzfreundliche Dienste wie Lunyb.
Fazit: Schnell handeln, Rechte durchsetzen
Ein Datenleck ist ärgerlich, aber kein Weltuntergang – wenn Sie schnell und richtig reagieren. Die wichtigsten Schritte: Passwörter ändern, 2FA aktivieren, Bank informieren, Vorfall dokumentieren und Ihre DSGVO-Rechte konsequent durchsetzen. Mit dem hier vorgestellten Notfallplan minimieren Sie Schäden und schaffen die Grundlage für berechtigte Schadensersatzansprüche.
Denken Sie auch an die Zukunft: Mit einem soliden Passwort-Manager, 2FA, datenschutzfreundlichen Tools und einem wachsamen Auge auf Ihre digitalen Spuren reduzieren Sie das Risiko erheblich. Wenn Sie zudem die besten Link-Tracking-Tools 2026 bewusst auswählen und auf Anbieter wie Lunyb setzen, die DSGVO-konform arbeiten, machen Sie es Datendieben deutlich schwerer.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Passwortsicherheit: Der ultimative Leitfaden 2026
Erfahren Sie in diesem umfassenden Leitfaden alles über Passwortsicherheit 2026: Von der Erstellung starker Passwörter über Passwort-Manager und 2FA bis hin zu Passkeys und Notfallplänen. Mit aktuellen Empfehlungen des BSI und DSGVO-konformen Tipps für Privatpersonen und Unternehmen.
QR-Code-Betrug: So schützen Sie sich vor Quishing 2026
QR-Codes erleichtern den Alltag – doch Kriminelle nutzen sie zunehmend für Quishing-Angriffe. Dieser Leitfaden zeigt, wie Sie betrügerische QR-Codes erkennen, welche Maschen 2026 kursieren und mit welchen konkreten Maßnahmen Sie sich und Ihr Unternehmen wirksam schützen.
Cybersicherheit für Österreichische KMU 2026: Der Praxisleitfaden
Österreichische KMU stehen 2026 vor verschärften Cyberbedrohungen und strengeren Vorgaben durch NIS2 und DSGVO. Dieser Praxisleitfaden zeigt die zehn wichtigsten Schutzmassnahmen, eine 90-Tage-Roadmap und realistische Kostenrahmen.
Datenleck: Was Tun als Betroffener? Sofortmaßnahmen-Leitfaden 2026
Ein Datenleck kann jeden treffen – doch schnelles Handeln schützt vor schweren Folgen. Dieser Leitfaden zeigt Ihnen die wichtigsten Sofortmaßnahmen, Ihre Rechte nach der DSGVO und wie Sie sich langfristig vor Identitätsdiebstahl und Phishing schützen.