facebook-pixel

Datenleck: Was Tun als Betroffener? Komplette Anleitung 2026

L
Lunyb Sicherheitsteam
··8 min read

Ein Datenleck kann jeden treffen – vom Kunden eines großen Online-Shops bis zum Nutzer eines sozialen Netzwerks. Wenn Ihre persönlichen Daten in falsche Hände geraten, ist schnelles und überlegtes Handeln entscheidend. In diesem umfassenden Leitfaden erfahren Sie, was Sie als Betroffener eines Datenlecks konkret tun sollten, welche Rechte Ihnen nach DSGVO zustehen und wie Sie sich langfristig vor Folgeschäden schützen.

Was ist ein Datenleck?

Ein Datenleck (auch Datenpanne oder Data Breach) ist ein Sicherheitsvorfall, bei dem personenbezogene Daten unbefugt offengelegt, gestohlen oder öffentlich zugänglich gemacht werden. Dies kann durch Hackerangriffe, technische Fehler, Insider-Bedrohungen oder unzureichende Sicherheitsmaßnahmen geschehen.

Typische Daten, die bei einem Leck betroffen sein können:

  • Namen, Adressen und Geburtsdaten
  • E-Mail-Adressen und Passwörter
  • Bankverbindungen und Kreditkartendaten
  • Ausweisdaten und Sozialversicherungsnummern
  • Gesundheitsdaten
  • Kommunikationsinhalte und Chatverläufe

Nach Artikel 4 Nr. 12 DSGVO ist eine Datenpanne definiert als „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur unbefugten Offenlegung von personenbezogenen Daten führt“. Unternehmen sind verpflichtet, solche Vorfälle innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden.

Woher weiß ich, dass ich betroffen bin?

Die Kenntnis eines Datenlecks erreicht Betroffene oft über verschiedene Kanäle. Achten Sie auf folgende Hinweise:

Direkte Benachrichtigung

Unternehmen sind nach DSGVO verpflichtet, betroffene Personen zu informieren, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht. Diese Benachrichtigungen erfolgen meist per E-Mail oder Brief.

Medienberichte

Große Datenlecks werden oft in den Medien behandelt. Prüfen Sie regelmäßig Nachrichten von seriösen Quellen wie heise.de, golem.de oder den Warnungen des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Selbstprüfung mit Diensten

Nutzen Sie kostenlose Prüfdienste wie den HPI Identity Leak Checker oder Have I Been Pwned. Eine ausführliche Anleitung dazu finden Sie in unserem Artikel Wurde mein Passwort geleakt? So prüfen Sie es sicher.

Verdächtige Aktivitäten

Achten Sie auf ungewöhnliche Aktivitäten in Ihren Konten, unerwartete Login-Benachrichtigungen, Phishing-E-Mails oder plötzlich vermehrte Spam-Anrufe. Letzteres können Sie mit unserer Anleitung zum Blockieren von Spam-Anrufen eindämmen.

Sofortmaßnahmen: Was tun in den ersten 24 Stunden?

Wenn Sie erfahren, dass Ihre Daten von einem Leck betroffen sind, sollten Sie systematisch vorgehen. Führen Sie folgende Schritte in dieser Reihenfolge durch:

  1. Passwörter sofort ändern: Beginnen Sie mit dem betroffenen Konto, dann alle Dienste, bei denen Sie dasselbe oder ein ähnliches Passwort verwendet haben.
  2. Zwei-Faktor-Authentifizierung aktivieren: Wo immer möglich, richten Sie 2FA über Authenticator-Apps (nicht SMS) ein.
  3. Aktive Sitzungen beenden: Melden Sie sich in den Sicherheitseinstellungen von allen Geräten ab.
  4. Bank informieren: Bei betroffenen Zahlungsdaten sofort die Bank kontaktieren und ggf. Karten sperren lassen (Sperrhotline: 116 116).
  5. Beweise sichern: Screenshots der Benachrichtigung, betroffene Datenkategorien und Zeitpunkt dokumentieren.
  6. E-Mail-Konto besonders schützen: Ihr E-Mail-Postfach ist der Schlüssel zu vielen Diensten – hier ist maximale Sicherheit erforderlich.
  7. Kontobewegungen überwachen: Prüfen Sie Kontoauszüge und Kreditkartenabrechnungen der nächsten Wochen besonders gründlich.

Rechtliche Schritte nach DSGVO

Als Betroffener eines Datenlecks haben Sie in Deutschland und der EU umfassende Rechte. Die DSGVO stellt Ihnen mehrere Instrumente zur Verfügung, um Ihre Interessen durchzusetzen.

Auskunftsrecht nach Art. 15 DSGVO

Sie haben das Recht, vom verantwortlichen Unternehmen zu erfahren, welche Daten von Ihnen gespeichert sind, wie sie verarbeitet werden und wer Zugriff darauf hat. Die Antwort muss innerhalb eines Monats erfolgen.

Beschwerde bei der Aufsichtsbehörde

Sie können sich direkt bei der zuständigen Datenschutzbehörde beschweren. In Deutschland ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für bundesweit tätige Unternehmen zuständig. Für andere Fälle sind die Landesdatenschutzbehörden verantwortlich.

Schadensersatzanspruch nach Art. 82 DSGVO

Betroffene haben Anspruch auf Ersatz materieller und immaterieller Schäden. Deutsche Gerichte haben in mehreren Verfahren Schadensersatzsummen zwischen 100 und mehreren tausend Euro zugesprochen. Der Europäische Gerichtshof hat 2023 klargestellt, dass auch der bloße Kontrollverlust über Daten einen ersatzfähigen Schaden darstellen kann.

Strafanzeige

Bei kriminellen Handlungen wie Hackerangriffen können Sie Strafanzeige bei der Polizei erstatten. Zuständig sind die spezialisierten Cybercrime-Dienststellen der Landeskriminalämter.

Übersicht: Rechte und Zuständigkeiten

Anliegen Zuständige Stelle Frist Kosten
Auskunft über gespeicherte Daten Verantwortliches Unternehmen 1 Monat Kostenlos
Beschwerde über Datenschutzverstoß BfDI / Landesdatenschutzbehörde Keine feste Frist Kostenlos
Schadensersatz Zivilgericht 3 Jahre Verjährung Anwalts-/Gerichtskosten
Strafanzeige Polizei / Staatsanwaltschaft Keine Frist Kostenlos
Kontosperrung Bank / Sperrhotline 116 116 Sofort Kostenlos
Schufa-Sperrvermerk Schufa Holding AG Auf Antrag Kostenlos

Schutz vor Identitätsdiebstahl

Eine der gravierendsten Folgen eines Datenlecks ist der Identitätsdiebstahl. Kriminelle können mit Ihren Daten Verträge abschließen, Kredite aufnehmen oder Straftaten in Ihrem Namen begehen.

Präventive Maßnahmen

  • Schufa-Selbstauskunft: Fordern Sie einmal jährlich eine kostenlose Datenkopie nach Art. 15 DSGVO an, um unbekannte Einträge zu erkennen.
  • Identitätsdiebstahl-Schutz einrichten: Dienste wie der HPI Identity Leak Checker informieren Sie über neue Leaks mit Ihrer E-Mail-Adresse.
  • Postumleitung prüfen: Kriminelle beantragen manchmal Nachsendeaufträge. Kontrollieren Sie dies bei der Deutschen Post.
  • Kreditwürdigkeit überwachen: Achten Sie auf unerwartete Rechnungen oder Mahnungen für nicht bestellte Leistungen.

Bei bereits erfolgtem Identitätsdiebstahl

  1. Sofort Strafanzeige bei der Polizei erstatten und Aktenzeichen dokumentieren
  2. Alle involvierten Unternehmen schriftlich informieren
  3. Falschforderungen schriftlich zurückweisen (mit Verweis auf Identitätsdiebstahl)
  4. Schufa und andere Auskunfteien über den Vorfall informieren
  5. Anwaltliche Hilfe in Anspruch nehmen – die Rechtsschutzversicherung kann greifen

Langfristige Sicherheitsstrategie

Ein einmaliger Datenleck-Vorfall sollte Anlass sein, Ihre gesamte digitale Sicherheitsstrategie zu überdenken. Diese Maßnahmen reduzieren das Risiko zukünftiger Vorfälle erheblich.

Passwort-Hygiene

Verwenden Sie einen Passwort-Manager (z. B. Bitwarden, KeePassXC oder 1Password). Jedes Konto sollte ein einzigartiges, mindestens 16 Zeichen langes Passwort haben. Aktivieren Sie die Zwei-Faktor-Authentifizierung überall, wo es möglich ist.

Datensparsamkeit

Geben Sie nur die absolut notwendigen Daten preis. Nutzen Sie Wegwerf-E-Mail-Adressen für Newsletter und einmalige Registrierungen. Vermeiden Sie es, echte Geburtsdaten oder Adressen bei Diensten anzugeben, die diese nicht zwingend benötigen.

Sicheres Teilen von Links

Beim Teilen von Links in E-Mails, Nachrichten oder sozialen Netzwerken sollten Sie Tracking-Parameter vermeiden, die Ihr Verhalten offenlegen. Datenschutzfreundliche URL-Kürzer wie Lunyb bieten hier eine sichere Alternative ohne aggressives Tracking – im Gegensatz zu manchen kommerziellen Anbietern. Einen ausführlichen Vergleich finden Sie in unserem Artikel Lunyb vs Bitly sowie im Bitly vs TinyURL Vergleich.

Digitalen Fußabdruck kontrollieren

Prüfen Sie regelmäßig, welche persönlichen Informationen über Sie im Netz auffindbar sind. Lassen Sie unerwünschte Einträge nach dem „Recht auf Vergessenwerden“ (Art. 17 DSGVO) löschen. Detaillierte Anweisungen dazu finden Sie in unserem Leitfaden zur Kontrolle des digitalen Fußabdrucks.

Verschlüsselte Kommunikation

Nutzen Sie Messenger mit Ende-zu-Ende-Verschlüsselung (Signal, Threema) und verschlüsselte E-Mail-Dienste wie Tutanota oder Proton Mail. Für sicheres Browsing empfehlen sich verschlüsseltes DNS (DNS over HTTPS), datenschutzorientierte Browser wie Firefox mit Enhanced Tracking Protection sowie der Tor Browser für besonders sensible Recherchen.

Häufige Fehler nach einem Datenleck

Viele Betroffene machen aus Panik oder Unwissenheit Fehler, die den Schaden vergrößern. Vermeiden Sie diese typischen Fallstricke:

  • Nicht reagieren: Der häufigste Fehler ist Untätigkeit in der Hoffnung, dass nichts passieren wird.
  • Nur ein Passwort ändern: Wenn Sie dasselbe Passwort mehrfach verwendet haben, müssen alle betroffenen Konten aktualisiert werden.
  • Phishing-Fallen zulaufen: Kriminelle nutzen Datenleck-Nachrichten für gezielte Angriffe. Klicken Sie niemals auf Links in unaufgeforderten „Sicherheitswarnungen“.
  • Auf Erpressungsmails eingehen: Sogenannte „Sextortion“-Mails nutzen alte Passwörter als Druckmittel – zahlen Sie niemals.
  • Fristen versäumen: Der Schadensersatzanspruch verjährt in drei Jahren.

Wann sollten Sie einen Anwalt einschalten?

In folgenden Fällen ist anwaltliche Beratung dringend zu empfehlen:

  • Finanzieller Schaden ist bereits entstanden
  • Identitätsdiebstahl mit Rechtsfolgen (Verträge, Kredite)
  • Unternehmen verweigert Auskunft oder Schadensersatz
  • Sensible Daten wie Gesundheitsdaten oder intime Inhalte betroffen
  • Bei Sammelklagen können Sie sich anschließen (z. B. über Verbraucherzentralen)

Verbraucherzentralen bieten oft kostengünstige Erstberatung. Viele Kanzleien haben sich auf DSGVO-Schadensersatz spezialisiert und arbeiten teilweise auf Erfolgsbasis.

FAQ: Häufig gestellte Fragen zum Datenleck

Wie hoch ist der Schadensersatz bei einem Datenleck?

Die Höhe variiert stark je nach Einzelfall. Deutsche Gerichte haben Beträge zwischen 100 Euro (bei geringfügigen Verstößen) und mehreren tausend Euro (bei sensiblen Daten) zugesprochen. Der EuGH hat entschieden, dass es keine Bagatellgrenze gibt – auch immaterielle Schäden wie Kontrollverlust sind ersatzfähig. Sammelklagen können höhere Summen erzielen.

Muss ich beweisen, dass mir ein Schaden entstanden ist?

Nach aktueller Rechtsprechung reicht es aus, den Kontrollverlust über die eigenen Daten und die daraus resultierenden Ängste oder Sorgen glaubhaft darzulegen. Ein konkreter finanzieller Schaden muss nicht vorliegen. Dokumentieren Sie dennoch alle Vorfälle, die Sie auf das Leck zurückführen (Phishing-Mails, Spam-Anrufe, Identitätsmissbrauch).

Wie lange habe ich Zeit, Ansprüche geltend zu machen?

Die Verjährungsfrist beträgt drei Jahre und beginnt am Ende des Jahres, in dem Sie vom Datenleck und dem verantwortlichen Unternehmen Kenntnis erlangt haben. Warten Sie jedoch nicht bis kurz vor Ablauf – Beweise werden mit der Zeit schwerer zu sichern.

Was passiert, wenn das Unternehmen im Ausland sitzt?

Bei Unternehmen mit Sitz in der EU gilt die DSGVO europaweit. Sie können sich an die Datenschutzbehörde in Ihrem Wohnsitzland wenden, die dann mit der Behörde am Unternehmenssitz kooperiert. Bei Unternehmen außerhalb der EU wird es komplizierter – hier hilft oft nur der Weg über spezialisierte Anwaltskanzleien oder Sammelklagen.

Sollte ich Rechtsdienstleister nutzen, die Schadensersatz auf Erfolgsbasis anbieten?

Solche Legal-Tech-Dienste (z. B. für Fluggastrechte oder DSGVO-Ansprüche) können sinnvoll sein, wenn Sie kein Risiko eingehen möchten. Beachten Sie jedoch, dass diese Anbieter oft 20-30 % der zugesprochenen Summe als Provision einbehalten. Prüfen Sie die AGB und Erfolgsquoten sorgfältig. Bei komplexen Fällen ist meist eine individuelle anwaltliche Beratung die bessere Wahl.

Fazit

Ein Datenleck ist ärgerlich und potenziell gefährlich, aber mit dem richtigen Vorgehen beherrschbar. Handeln Sie schnell mit den Sofortmaßnahmen, nutzen Sie Ihre umfangreichen Rechte nach DSGVO und investieren Sie langfristig in Ihre digitale Sicherheit. Je besser Sie vorbereitet sind, desto weniger Auswirkungen wird ein zukünftiger Vorfall auf Sie haben. Datenschutz ist kein einmaliges Projekt, sondern eine kontinuierliche Praxis – und jedes einzelne Konto verdient Ihre Aufmerksamkeit.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles