Datenleck: Was Tun als Betroffener? Komplette Anleitung 2026
Ein Datenleck kann jeden treffen – vom Kunden eines großen Online-Shops bis zum Nutzer eines sozialen Netzwerks. Wenn Ihre persönlichen Daten in falsche Hände geraten, ist schnelles und überlegtes Handeln entscheidend. In diesem umfassenden Leitfaden erfahren Sie, was Sie als Betroffener eines Datenlecks konkret tun sollten, welche Rechte Ihnen nach DSGVO zustehen und wie Sie sich langfristig vor Folgeschäden schützen.
Was ist ein Datenleck?
Ein Datenleck (auch Datenpanne oder Data Breach) ist ein Sicherheitsvorfall, bei dem personenbezogene Daten unbefugt offengelegt, gestohlen oder öffentlich zugänglich gemacht werden. Dies kann durch Hackerangriffe, technische Fehler, Insider-Bedrohungen oder unzureichende Sicherheitsmaßnahmen geschehen.
Typische Daten, die bei einem Leck betroffen sein können:
- Namen, Adressen und Geburtsdaten
- E-Mail-Adressen und Passwörter
- Bankverbindungen und Kreditkartendaten
- Ausweisdaten und Sozialversicherungsnummern
- Gesundheitsdaten
- Kommunikationsinhalte und Chatverläufe
Nach Artikel 4 Nr. 12 DSGVO ist eine Datenpanne definiert als „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur unbefugten Offenlegung von personenbezogenen Daten führt“. Unternehmen sind verpflichtet, solche Vorfälle innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden.
Woher weiß ich, dass ich betroffen bin?
Die Kenntnis eines Datenlecks erreicht Betroffene oft über verschiedene Kanäle. Achten Sie auf folgende Hinweise:
Direkte Benachrichtigung
Unternehmen sind nach DSGVO verpflichtet, betroffene Personen zu informieren, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht. Diese Benachrichtigungen erfolgen meist per E-Mail oder Brief.
Medienberichte
Große Datenlecks werden oft in den Medien behandelt. Prüfen Sie regelmäßig Nachrichten von seriösen Quellen wie heise.de, golem.de oder den Warnungen des BSI (Bundesamt für Sicherheit in der Informationstechnik).
Selbstprüfung mit Diensten
Nutzen Sie kostenlose Prüfdienste wie den HPI Identity Leak Checker oder Have I Been Pwned. Eine ausführliche Anleitung dazu finden Sie in unserem Artikel Wurde mein Passwort geleakt? So prüfen Sie es sicher.
Verdächtige Aktivitäten
Achten Sie auf ungewöhnliche Aktivitäten in Ihren Konten, unerwartete Login-Benachrichtigungen, Phishing-E-Mails oder plötzlich vermehrte Spam-Anrufe. Letzteres können Sie mit unserer Anleitung zum Blockieren von Spam-Anrufen eindämmen.
Sofortmaßnahmen: Was tun in den ersten 24 Stunden?
Wenn Sie erfahren, dass Ihre Daten von einem Leck betroffen sind, sollten Sie systematisch vorgehen. Führen Sie folgende Schritte in dieser Reihenfolge durch:
- Passwörter sofort ändern: Beginnen Sie mit dem betroffenen Konto, dann alle Dienste, bei denen Sie dasselbe oder ein ähnliches Passwort verwendet haben.
- Zwei-Faktor-Authentifizierung aktivieren: Wo immer möglich, richten Sie 2FA über Authenticator-Apps (nicht SMS) ein.
- Aktive Sitzungen beenden: Melden Sie sich in den Sicherheitseinstellungen von allen Geräten ab.
- Bank informieren: Bei betroffenen Zahlungsdaten sofort die Bank kontaktieren und ggf. Karten sperren lassen (Sperrhotline: 116 116).
- Beweise sichern: Screenshots der Benachrichtigung, betroffene Datenkategorien und Zeitpunkt dokumentieren.
- E-Mail-Konto besonders schützen: Ihr E-Mail-Postfach ist der Schlüssel zu vielen Diensten – hier ist maximale Sicherheit erforderlich.
- Kontobewegungen überwachen: Prüfen Sie Kontoauszüge und Kreditkartenabrechnungen der nächsten Wochen besonders gründlich.
Rechtliche Schritte nach DSGVO
Als Betroffener eines Datenlecks haben Sie in Deutschland und der EU umfassende Rechte. Die DSGVO stellt Ihnen mehrere Instrumente zur Verfügung, um Ihre Interessen durchzusetzen.
Auskunftsrecht nach Art. 15 DSGVO
Sie haben das Recht, vom verantwortlichen Unternehmen zu erfahren, welche Daten von Ihnen gespeichert sind, wie sie verarbeitet werden und wer Zugriff darauf hat. Die Antwort muss innerhalb eines Monats erfolgen.
Beschwerde bei der Aufsichtsbehörde
Sie können sich direkt bei der zuständigen Datenschutzbehörde beschweren. In Deutschland ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für bundesweit tätige Unternehmen zuständig. Für andere Fälle sind die Landesdatenschutzbehörden verantwortlich.
Schadensersatzanspruch nach Art. 82 DSGVO
Betroffene haben Anspruch auf Ersatz materieller und immaterieller Schäden. Deutsche Gerichte haben in mehreren Verfahren Schadensersatzsummen zwischen 100 und mehreren tausend Euro zugesprochen. Der Europäische Gerichtshof hat 2023 klargestellt, dass auch der bloße Kontrollverlust über Daten einen ersatzfähigen Schaden darstellen kann.
Strafanzeige
Bei kriminellen Handlungen wie Hackerangriffen können Sie Strafanzeige bei der Polizei erstatten. Zuständig sind die spezialisierten Cybercrime-Dienststellen der Landeskriminalämter.
Übersicht: Rechte und Zuständigkeiten
| Anliegen | Zuständige Stelle | Frist | Kosten |
|---|---|---|---|
| Auskunft über gespeicherte Daten | Verantwortliches Unternehmen | 1 Monat | Kostenlos |
| Beschwerde über Datenschutzverstoß | BfDI / Landesdatenschutzbehörde | Keine feste Frist | Kostenlos |
| Schadensersatz | Zivilgericht | 3 Jahre Verjährung | Anwalts-/Gerichtskosten |
| Strafanzeige | Polizei / Staatsanwaltschaft | Keine Frist | Kostenlos |
| Kontosperrung | Bank / Sperrhotline 116 116 | Sofort | Kostenlos |
| Schufa-Sperrvermerk | Schufa Holding AG | Auf Antrag | Kostenlos |
Schutz vor Identitätsdiebstahl
Eine der gravierendsten Folgen eines Datenlecks ist der Identitätsdiebstahl. Kriminelle können mit Ihren Daten Verträge abschließen, Kredite aufnehmen oder Straftaten in Ihrem Namen begehen.
Präventive Maßnahmen
- Schufa-Selbstauskunft: Fordern Sie einmal jährlich eine kostenlose Datenkopie nach Art. 15 DSGVO an, um unbekannte Einträge zu erkennen.
- Identitätsdiebstahl-Schutz einrichten: Dienste wie der HPI Identity Leak Checker informieren Sie über neue Leaks mit Ihrer E-Mail-Adresse.
- Postumleitung prüfen: Kriminelle beantragen manchmal Nachsendeaufträge. Kontrollieren Sie dies bei der Deutschen Post.
- Kreditwürdigkeit überwachen: Achten Sie auf unerwartete Rechnungen oder Mahnungen für nicht bestellte Leistungen.
Bei bereits erfolgtem Identitätsdiebstahl
- Sofort Strafanzeige bei der Polizei erstatten und Aktenzeichen dokumentieren
- Alle involvierten Unternehmen schriftlich informieren
- Falschforderungen schriftlich zurückweisen (mit Verweis auf Identitätsdiebstahl)
- Schufa und andere Auskunfteien über den Vorfall informieren
- Anwaltliche Hilfe in Anspruch nehmen – die Rechtsschutzversicherung kann greifen
Langfristige Sicherheitsstrategie
Ein einmaliger Datenleck-Vorfall sollte Anlass sein, Ihre gesamte digitale Sicherheitsstrategie zu überdenken. Diese Maßnahmen reduzieren das Risiko zukünftiger Vorfälle erheblich.
Passwort-Hygiene
Verwenden Sie einen Passwort-Manager (z. B. Bitwarden, KeePassXC oder 1Password). Jedes Konto sollte ein einzigartiges, mindestens 16 Zeichen langes Passwort haben. Aktivieren Sie die Zwei-Faktor-Authentifizierung überall, wo es möglich ist.
Datensparsamkeit
Geben Sie nur die absolut notwendigen Daten preis. Nutzen Sie Wegwerf-E-Mail-Adressen für Newsletter und einmalige Registrierungen. Vermeiden Sie es, echte Geburtsdaten oder Adressen bei Diensten anzugeben, die diese nicht zwingend benötigen.
Sicheres Teilen von Links
Beim Teilen von Links in E-Mails, Nachrichten oder sozialen Netzwerken sollten Sie Tracking-Parameter vermeiden, die Ihr Verhalten offenlegen. Datenschutzfreundliche URL-Kürzer wie Lunyb bieten hier eine sichere Alternative ohne aggressives Tracking – im Gegensatz zu manchen kommerziellen Anbietern. Einen ausführlichen Vergleich finden Sie in unserem Artikel Lunyb vs Bitly sowie im Bitly vs TinyURL Vergleich.
Digitalen Fußabdruck kontrollieren
Prüfen Sie regelmäßig, welche persönlichen Informationen über Sie im Netz auffindbar sind. Lassen Sie unerwünschte Einträge nach dem „Recht auf Vergessenwerden“ (Art. 17 DSGVO) löschen. Detaillierte Anweisungen dazu finden Sie in unserem Leitfaden zur Kontrolle des digitalen Fußabdrucks.
Verschlüsselte Kommunikation
Nutzen Sie Messenger mit Ende-zu-Ende-Verschlüsselung (Signal, Threema) und verschlüsselte E-Mail-Dienste wie Tutanota oder Proton Mail. Für sicheres Browsing empfehlen sich verschlüsseltes DNS (DNS over HTTPS), datenschutzorientierte Browser wie Firefox mit Enhanced Tracking Protection sowie der Tor Browser für besonders sensible Recherchen.
Häufige Fehler nach einem Datenleck
Viele Betroffene machen aus Panik oder Unwissenheit Fehler, die den Schaden vergrößern. Vermeiden Sie diese typischen Fallstricke:
- Nicht reagieren: Der häufigste Fehler ist Untätigkeit in der Hoffnung, dass nichts passieren wird.
- Nur ein Passwort ändern: Wenn Sie dasselbe Passwort mehrfach verwendet haben, müssen alle betroffenen Konten aktualisiert werden.
- Phishing-Fallen zulaufen: Kriminelle nutzen Datenleck-Nachrichten für gezielte Angriffe. Klicken Sie niemals auf Links in unaufgeforderten „Sicherheitswarnungen“.
- Auf Erpressungsmails eingehen: Sogenannte „Sextortion“-Mails nutzen alte Passwörter als Druckmittel – zahlen Sie niemals.
- Fristen versäumen: Der Schadensersatzanspruch verjährt in drei Jahren.
Wann sollten Sie einen Anwalt einschalten?
In folgenden Fällen ist anwaltliche Beratung dringend zu empfehlen:
- Finanzieller Schaden ist bereits entstanden
- Identitätsdiebstahl mit Rechtsfolgen (Verträge, Kredite)
- Unternehmen verweigert Auskunft oder Schadensersatz
- Sensible Daten wie Gesundheitsdaten oder intime Inhalte betroffen
- Bei Sammelklagen können Sie sich anschließen (z. B. über Verbraucherzentralen)
Verbraucherzentralen bieten oft kostengünstige Erstberatung. Viele Kanzleien haben sich auf DSGVO-Schadensersatz spezialisiert und arbeiten teilweise auf Erfolgsbasis.
FAQ: Häufig gestellte Fragen zum Datenleck
Wie hoch ist der Schadensersatz bei einem Datenleck?
Die Höhe variiert stark je nach Einzelfall. Deutsche Gerichte haben Beträge zwischen 100 Euro (bei geringfügigen Verstößen) und mehreren tausend Euro (bei sensiblen Daten) zugesprochen. Der EuGH hat entschieden, dass es keine Bagatellgrenze gibt – auch immaterielle Schäden wie Kontrollverlust sind ersatzfähig. Sammelklagen können höhere Summen erzielen.
Muss ich beweisen, dass mir ein Schaden entstanden ist?
Nach aktueller Rechtsprechung reicht es aus, den Kontrollverlust über die eigenen Daten und die daraus resultierenden Ängste oder Sorgen glaubhaft darzulegen. Ein konkreter finanzieller Schaden muss nicht vorliegen. Dokumentieren Sie dennoch alle Vorfälle, die Sie auf das Leck zurückführen (Phishing-Mails, Spam-Anrufe, Identitätsmissbrauch).
Wie lange habe ich Zeit, Ansprüche geltend zu machen?
Die Verjährungsfrist beträgt drei Jahre und beginnt am Ende des Jahres, in dem Sie vom Datenleck und dem verantwortlichen Unternehmen Kenntnis erlangt haben. Warten Sie jedoch nicht bis kurz vor Ablauf – Beweise werden mit der Zeit schwerer zu sichern.
Was passiert, wenn das Unternehmen im Ausland sitzt?
Bei Unternehmen mit Sitz in der EU gilt die DSGVO europaweit. Sie können sich an die Datenschutzbehörde in Ihrem Wohnsitzland wenden, die dann mit der Behörde am Unternehmenssitz kooperiert. Bei Unternehmen außerhalb der EU wird es komplizierter – hier hilft oft nur der Weg über spezialisierte Anwaltskanzleien oder Sammelklagen.
Sollte ich Rechtsdienstleister nutzen, die Schadensersatz auf Erfolgsbasis anbieten?
Solche Legal-Tech-Dienste (z. B. für Fluggastrechte oder DSGVO-Ansprüche) können sinnvoll sein, wenn Sie kein Risiko eingehen möchten. Beachten Sie jedoch, dass diese Anbieter oft 20-30 % der zugesprochenen Summe als Provision einbehalten. Prüfen Sie die AGB und Erfolgsquoten sorgfältig. Bei komplexen Fällen ist meist eine individuelle anwaltliche Beratung die bessere Wahl.
Fazit
Ein Datenleck ist ärgerlich und potenziell gefährlich, aber mit dem richtigen Vorgehen beherrschbar. Handeln Sie schnell mit den Sofortmaßnahmen, nutzen Sie Ihre umfangreichen Rechte nach DSGVO und investieren Sie langfristig in Ihre digitale Sicherheit. Je besser Sie vorbereitet sind, desto weniger Auswirkungen wird ein zukünftiger Vorfall auf Sie haben. Datenschutz ist kein einmaliges Projekt, sondern eine kontinuierliche Praxis – und jedes einzelne Konto verdient Ihre Aufmerksamkeit.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Ist Mein Handy Gehackt? 10 Warnzeichen und Was Sie Tun Können
Ist Ihr Handy gehackt? Erfahren Sie, an welchen 10 Warnzeichen Sie eine Kompromittierung Ihres Smartphones erkennen. Der umfassende Leitfaden erklärt Symptome, Ursachen und konkrete Schutzmassnahmen – inklusive Anleitung, was im Ernstfall zu tun ist.
Phishing-Angriffe Erkennen und Vermeiden: Der Vollständige Leitfaden 2026
Phishing-Angriffe werden 2026 durch KI immer raffinierter. Erfahren Sie, wie Sie betrügerische E-Mails, SMS und Anrufe zuverlässig erkennen, welche technischen Schutzmassnahmen wirksam sind und wie Sie im Ernstfall richtig reagieren.
QR-Code-Betrug: So Schützen Sie Sich vor Quishing 2026
QR-Code-Betrug, auch Quishing genannt, gehört 2026 zu den am schnellsten wachsenden Cyber-Bedrohungen in Deutschland. In diesem Leitfaden erfahren Sie, wie Sie gefälschte Codes erkennen, welche Maschen aktuell kursieren und mit welchen Maßnahmen Sie sich privat und beruflich schützen.
Ende-zu-Ende-Verschlüsselung einfach erklärt: Der Leitfaden 2026
Ende-zu-Ende-Verschlüsselung schützt Ihre Kommunikation davor, dass selbst Anbieter mitlesen können. Dieser Leitfaden erklärt einfach und verständlich, wie die Technologie funktioniert, welche Dienste sie nutzen und wo ihre Grenzen liegen.