Datenleck: Was Tun als Betroffener? Der Komplette Notfallplan 2026
Ein Datenleck kann jeden treffen – vom Online-Shopper bis zum Banking-Kunden. Wenn Ihre persönlichen Daten in die falschen Hände geraten, zählt jede Stunde. Dieser Leitfaden zeigt Ihnen Schritt für Schritt, was Sie als Betroffener eines Datenlecks tun sollten, welche Rechte Ihnen die DSGVO einräumt und wie Sie sich langfristig schützen.
Was ist ein Datenleck?
Ein Datenleck (auch Datenpanne oder Data Breach genannt) bezeichnet einen Sicherheitsvorfall, bei dem personenbezogene oder vertrauliche Informationen unbefugt offengelegt, eingesehen, kopiert oder gestohlen werden. Solche Vorfälle entstehen durch Hackerangriffe, fehlerhaft konfigurierte Server, Innentäter oder verlorene Datenträger.
Typische Daten, die bei einem Leck betroffen sein können:
- Namen, Adressen und Geburtsdaten
- E-Mail-Adressen und Telefonnummern
- Passwörter (gehasht oder im Klartext)
- Kreditkartennummern und Bankverbindungen
- Gesundheitsdaten und Sozialversicherungsnummern
- Kommunikationsverläufe und private Nachrichten
Laut Berichten des Bundesamts für Sicherheit in der Informationstechnik (BSI) nimmt die Zahl der gemeldeten Datenpannen in Deutschland jährlich zu. Allein der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) registriert tausende meldepflichtige Vorfälle pro Jahr.
Wie erfahre ich, dass ich von einem Datenleck betroffen bin?
Betroffene erfahren auf verschiedenen Wegen von einem Datenleck. Nach Artikel 34 DSGVO sind Unternehmen verpflichtet, Sie unverzüglich zu informieren, wenn ein hohes Risiko für Ihre Rechte und Freiheiten besteht.
Typische Hinweise auf ein Datenleck:
- Offizielle Benachrichtigung per E-Mail oder Brief vom betroffenen Unternehmen
- Pressemitteilungen über bekannt gewordene Sicherheitsvorfälle
- Warnungen von Diensten wie "Have I Been Pwned" oder dem HPI Identity Leak Checker
- Verdächtige Aktivitäten auf Ihren Konten (unbekannte Anmeldungen, Transaktionen)
- Phishing-Mails mit auffallend persönlichen Details
- Unerwartete Passwort-Reset-Mails oder Zwei-Faktor-Codes
Prüfen Sie kostenlos, ob Sie betroffen sind
Folgende seriöse Dienste helfen Ihnen bei der Überprüfung:
- HPI Identity Leak Checker (Hasso-Plattner-Institut) – auf Deutsch, DSGVO-konform
- Have I Been Pwned – internationaler Standard zur Datenleck-Prüfung
- Firefox Monitor – integriert in den Mozilla-Browser
Datenleck: Was tun? Die ersten 24 Stunden
Wenn Sie ein Datenleck bemerken oder eine Benachrichtigung erhalten, sollten Sie schnell und systematisch handeln. Die ersten 24 Stunden sind entscheidend, um Folgeschäden zu begrenzen.
Sofortmaßnahmen Schritt für Schritt:
- Ruhe bewahren und Vorfall verifizieren: Prüfen Sie, ob die Benachrichtigung echt ist. Loggen Sie sich direkt über die offizielle Webseite des Anbieters ein – nicht über Links in E-Mails.
- Passwort des betroffenen Kontos ändern: Wählen Sie ein starkes, einzigartiges Passwort mit mindestens 16 Zeichen.
- Gleiche Passwörter auf anderen Konten ersetzen: Falls Sie das Passwort mehrfach verwendet haben, ändern Sie es überall.
- Zwei-Faktor-Authentifizierung aktivieren: Nutzen Sie Apps wie Authy, Aegis oder einen Hardware-Schlüssel (YubiKey).
- Aktive Sitzungen beenden: Melden Sie sich in den Sicherheitseinstellungen auf allen Geräten ab.
- Bank und Kreditkarte informieren: Falls Finanzdaten betroffen sind, sperren Sie Karten und überwachen Sie Kontobewegungen.
- Screenshots und Belege sichern: Dokumentieren Sie alles für spätere Schadensersatzansprüche.
Mittelfristige Maßnahmen: Die nächsten Tage und Wochen
Nach den Sofortmaßnahmen folgen weitere Schritte, um Identitätsdiebstahl und finanziellen Schaden vorzubeugen.
1. SCHUFA-Auskunft einholen
Beantragen Sie eine kostenlose Datenkopie nach Art. 15 DSGVO bei der SCHUFA. So erkennen Sie, ob in Ihrem Namen Verträge abgeschlossen oder Kredite beantragt wurden.
2. Kontobewegungen überwachen
Prüfen Sie täglich Ihre Bankkonten und Kreditkartenabrechnungen. Bei Auffälligkeiten widersprechen Sie unverzüglich – bei nicht autorisierten Lastschriften haben Sie 8 Wochen Zeit zur Rückbuchung.
3. Identitätsdiebstahl vorbeugen
Reichen Sie bei der SCHUFA und Creditreform einen Identitätsbetrugs-Hinweis ein. Dieser warnt Vertragspartner, dass Ihre Daten missbraucht werden könnten.
4. E-Mail-Filter und Phishing-Schutz
Erwarten Sie nach einem Datenleck eine Welle gezielter Phishing-Versuche. Aktivieren Sie strenge Spam-Filter und seien Sie besonders misstrauisch bei Mails, die Sie zur Eingabe von Zugangsdaten auffordern. Auch QR-Code-Betrug (Quishing) nimmt nach Datenlecks zu.
Ihre Rechte nach DSGVO bei einem Datenleck
Die Datenschutz-Grundverordnung (DSGVO) gibt Betroffenen umfangreiche Rechte. Wenn Ihre Daten von einem Leck betroffen sind, haben Sie folgende Ansprüche gegenüber dem verantwortlichen Unternehmen:
| Recht | DSGVO-Artikel | Bedeutung für Betroffene |
|---|---|---|
| Recht auf Information | Art. 34 | Unternehmen müssen Sie bei hohem Risiko unverzüglich benachrichtigen |
| Recht auf Auskunft | Art. 15 | Sie können erfahren, welche Daten gespeichert wurden |
| Recht auf Löschung | Art. 17 | Sie können die Löschung Ihrer Daten verlangen |
| Recht auf Schadensersatz | Art. 82 | Materieller und immaterieller Schaden ist ersatzfähig |
| Recht auf Beschwerde | Art. 77 | Sie können sich bei der Aufsichtsbehörde beschweren |
Schadensersatz bei Datenlecks
Deutsche Gerichte haben in den letzten Jahren mehrfach Schadensersatz für immaterielle Schäden bei Datenlecks zugesprochen. Die Beträge reichen von 100 Euro bis über 5.000 Euro pro Betroffenem – abhängig von der Schwere des Vorfalls. Der Europäische Gerichtshof hat klargestellt, dass bereits der Kontrollverlust über persönliche Daten einen ersatzfähigen Schaden darstellen kann.
Weitere Details zu Ihren Rechten finden Sie in unserem Leitfaden zur DSGVO einfach erklärt.
Beschwerde bei der Datenschutzbehörde einreichen
Wenn ein Unternehmen ein Datenleck verschuldet hat oder Sie nicht ordnungsgemäß informiert wurde, können Sie sich kostenlos bei der zuständigen Datenschutzaufsichtsbehörde beschweren.
Zuständige Behörden in Deutschland:
- BfDI – für Telekommunikations- und Postdienstleister sowie Bundesbehörden
- Landesdatenschutzbeauftragte – für Unternehmen mit Sitz im jeweiligen Bundesland
So reichen Sie Beschwerde ein:
- Ermitteln Sie die zuständige Behörde nach Sitz des Unternehmens
- Nutzen Sie das Online-Beschwerdeformular oder schreiben Sie formlos
- Fügen Sie alle Belege bei (Mails, Screenshots, Korrespondenz)
- Beschreiben Sie den Vorfall sachlich und chronologisch
- Nennen Sie konkrete Forderungen (Auskunft, Löschung, Bußgeld)
Identitätsdiebstahl: Erweiterte Maßnahmen
Wenn nicht nur Login-Daten, sondern Ausweisdaten, Sozialversicherungsnummer oder Steuer-ID betroffen sind, droht Identitätsdiebstahl. Dann sind zusätzliche Schritte nötig.
Bei vermutetem Identitätsdiebstahl:
- Strafanzeige bei der Polizei erstatten – auch online über die Internetwache
- Bundesnetzagentur informieren, falls Telefonverträge in Ihrem Namen abgeschlossen wurden
- Finanzamt benachrichtigen bei Missbrauch der Steuer-ID
- Personalausweis sperren lassen über die Sperrhotline 116 116
- Inkassoforderungen schriftlich widersprechen mit Verweis auf Identitätsdiebstahl
Langfristiger Schutz vor zukünftigen Datenlecks
Ein Datenleck ist eine schmerzliche Erfahrung – aber auch ein Anlass, Ihre digitale Sicherheit grundsätzlich zu verbessern. Folgende Maßnahmen helfen Ihnen langfristig.
Passwortmanager nutzen
Tools wie Bitwarden, KeePassXC oder 1Password generieren und speichern für jeden Dienst ein einzigartiges Passwort. Bei einem Datenleck ist nur ein Konto betroffen, nicht Ihre gesamte digitale Identität.
Zwei-Faktor-Authentifizierung überall aktivieren
Selbst wenn Angreifer Ihr Passwort kennen, schützt 2FA Ihre Konten. Bevorzugen Sie Authenticator-Apps oder Hardware-Schlüssel gegenüber SMS-basierten Codes.
Datensparsamkeit praktizieren
Geben Sie online nur die unbedingt nötigen Daten preis. Nutzen Sie Wegwerf-E-Mail-Adressen für Newsletter und Anmeldungen. Wenn Sie Links teilen möchten, ohne Tracking zu erlauben, verwenden Sie datenschutzfreundliche Dienste wie Lunyb, einen URL-Kürzer mit Fokus auf Privatsphäre und Sicherheit.
Datenschutzfreundliche Tools verwenden
Wechseln Sie zu Browsern und Diensten, die Ihre Privatsphäre schützen. Unser Vergleich der besten datenschutzfreundlichen Browser 2026 bietet einen aktuellen Überblick. Verschlüsseltes DNS (DoH/DoT) und Tracking-Schutz auf Netzwerkebene reduzieren Ihre digitale Spur weiter.
Regelmäßige Sicherheits-Checkups
Prüfen Sie alle drei Monate:
- Welche Konten und Abos Sie noch aktiv nutzen
- Welche Berechtigungen Apps und Webseiten haben
- Ob Ihre E-Mail-Adressen in neuen Datenlecks auftauchen
- Ob Ihre Passwörter noch sicher sind
Was Unternehmen tun müssen: Pflichten nach DSGVO
Unternehmen, bei denen ein Datenleck auftritt, haben strikte Pflichten. Diese zu kennen, hilft Ihnen, Ihre Rechte effektiv einzufordern.
| Pflicht | Frist | Adressat |
|---|---|---|
| Meldung an Aufsichtsbehörde | 72 Stunden | BfDI / Landesbehörde |
| Benachrichtigung Betroffener | Unverzüglich bei hohem Risiko | Sie als Betroffener |
| Dokumentation des Vorfalls | Dauerhaft | Interne Dokumentation |
| Schadensbegrenzung | Sofort | Technische Maßnahmen |
Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Häufige Fehler nach einem Datenleck
Vermeiden Sie diese typischen Fehler, die viele Betroffene machen:
- Auf Phishing-Mails reagieren: Betrüger nutzen Datenlecks für gezielte Folgeangriffe
- Nur ein Passwort ändern: Wer Passwörter mehrfach nutzt, muss alle ändern
- SMS-2FA als alleinige Sicherung: SIM-Swapping macht SMS angreifbar
- Keine Dokumentation: Ohne Belege sind Schadensersatzansprüche schwer durchsetzbar
- Sich entmutigen lassen: Ihre DSGVO-Rechte können Sie auch ohne Anwalt geltend machen
FAQ: Häufige Fragen zum Thema Datenleck
Wie schnell muss ein Unternehmen mich über ein Datenleck informieren?
Nach Art. 34 DSGVO muss ein Unternehmen Sie "unverzüglich" informieren, wenn ein hohes Risiko für Ihre Rechte und Freiheiten besteht. In der Praxis bedeutet das innerhalb weniger Tage nach Bekanntwerden des Vorfalls. Die Behörden müssen bereits innerhalb von 72 Stunden informiert werden.
Kann ich Schadensersatz fordern, wenn mir kein finanzieller Schaden entstanden ist?
Ja. Der Europäische Gerichtshof und deutsche Gerichte haben mehrfach entschieden, dass auch immaterielle Schäden wie der Kontrollverlust über persönliche Daten, Sorge und Stress ersatzfähig sind. Typische Beträge liegen zwischen 100 und 2.000 Euro, in schweren Fällen auch deutlich höher.
Was kostet eine Beschwerde bei der Datenschutzbehörde?
Die Beschwerde bei BfDI oder den Landesdatenschutzbeauftragten ist kostenlos. Sie benötigen keinen Anwalt und können das Verfahren selbst führen. Die Behörde prüft Ihre Beschwerde und kann gegen das Unternehmen Bußgelder verhängen.
Sollte ich nach einem Datenleck mein Konto sofort löschen?
Nicht immer. Eine Kontolöschung kann sinnvoll sein, wenn Sie den Dienst ohnehin nicht mehr nutzen. Bei aktiven Konten ist es wichtiger, das Passwort zu ändern, 2FA zu aktivieren und alle aktiven Sitzungen zu beenden. Sichern Sie vorher wichtige Daten und Belege für eventuelle Schadensersatzansprüche.
Wie erkenne ich, ob eine Datenleck-Benachrichtigung echt ist?
Echte Benachrichtigungen enthalten konkrete Informationen über den Vorfall, betroffene Datenkategorien und konkrete Handlungsempfehlungen. Sie fordern niemals zur Eingabe von Passwörtern über einen E-Mail-Link auf. Im Zweifel loggen Sie sich direkt über die offizielle Webseite ein oder kontaktieren den Kundenservice telefonisch.
Fazit: Schnell handeln, Rechte kennen, langfristig schützen
Ein Datenleck ist unangenehm, aber kein Weltuntergang. Entscheidend ist, dass Sie schnell reagieren: Passwörter ändern, 2FA aktivieren, Konten überwachen und Ihre Rechte nach DSGVO durchsetzen. Nutzen Sie den Vorfall als Anlass, Ihre digitale Sicherheit grundsätzlich zu verbessern – mit Passwortmanager, datensparsamen Tools und regelmäßigen Sicherheits-Checkups.
Je besser Sie vorbereitet sind, desto weniger Schaden richtet das nächste Datenleck an. Und leider ist es nicht eine Frage des Ob, sondern des Wann.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
QR-Code-Betrug 2026: So Schützen Sie Sich vor Quishing und Phishing-Codes
QR-Code-Betrug, auch Quishing genannt, gehört zu den am schnellsten wachsenden Cyberbedrohungen 2026. Erfahren Sie, wie die häufigsten Maschen funktionieren, woran Sie betrügerische Codes erkennen und mit welchen 10 Massnahmen Sie sich wirksam schützen.
Cybersicherheit in der Schweiz 2026: Bedrohungen, Gesetze und Schutzmassnahmen
Die Cybersicherheitslage in der Schweiz hat sich 2026 dramatisch zugespitzt: KI-gestütztes Phishing, Ransomware-Wellen und neue Meldepflichten fordern Unternehmen und Privatpersonen. Dieser Leitfaden zeigt aktuelle Bedrohungen, gesetzliche Anforderungen wie revDSG und BACS-Meldepflicht sowie konkrete Schutzmassnahmen.
Was Google Über Sie Weiss: Der Komplette Datenschutz-Check 2026
Google sammelt täglich riesige Mengen an Daten über seine Nutzer – von Suchanfragen über Standorte bis hin zu Sprachaufnahmen. Erfahren Sie, welche Informationen Google wirklich über Sie speichert, wo Sie diese einsehen können und mit welchen konkreten Schritten Sie Ihre Privatsphäre 2026 wirksam schützen.
Ende-zu-Ende-Verschlüsselung Einfach Erklärt: Der Komplette Leitfaden 2026
Ende-zu-Ende-Verschlüsselung schützt Ihre digitale Kommunikation vor Anbietern, Hackern und Behörden. Dieser Leitfaden erklärt verständlich, wie E2EE funktioniert, welche Dienste sie einsetzen und worauf Sie achten sollten.