Datenleck: Was Tun als Betroffener? Der Komplette Notfall-Leitfaden 2026
Ein Datenleck kann jeden treffen. Ob durch einen gehackten Online-Shop, einen kompromittierten E-Mail-Anbieter oder eine Sicherheitslücke bei Ihrer Bank – wenn personenbezogene Daten in falsche Hände geraten, drohen Identitätsdiebstahl, finanzielle Schäden und Rufschädigung. Doch was genau sollten Sie als Betroffener tun? Dieser Leitfaden zeigt Ihnen die wichtigsten Sofortmaßnahmen, rechtlichen Schritte und langfristigen Schutzstrategien.
Was ist ein Datenleck überhaupt?
Ein Datenleck (auch Datenpanne oder englisch Data Breach) liegt vor, wenn personenbezogene Daten unbeabsichtigt oder unrechtmäßig offengelegt, verändert oder gestohlen werden. Nach Artikel 4 Nr. 12 DSGVO umfasst dies jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur unbefugten Offenlegung von Daten führt.
Typische Beispiele für Datenlecks sind:
- Hackerangriffe auf Unternehmensserver mit Diebstahl von Kundendatenbanken
- Phishing-Angriffe, durch die Login-Daten erbeutet werden
- Versehentlich öffentlich zugängliche Cloud-Speicher
- Verlorene oder gestohlene Laptops mit unverschlüsselten Daten
- Insider-Angriffe durch Mitarbeiter
Welche Daten sind besonders gefährdet?
Nicht alle Daten sind gleich kritisch. Folgende Kategorien verursachen die größten Schäden, wenn sie geleakt werden:
- Zugangsdaten: E-Mail-Passwort-Kombinationen ermöglichen Account-Takeover
- Finanzdaten: Kreditkartennummern, IBAN, Online-Banking-Zugänge
- Identitätsdaten: Personalausweis, Reisepass, Sozialversicherungsnummer
- Gesundheitsdaten: Diagnosen, Medikamente, Versicherungsdaten
- Kommunikationsdaten: Private Chats, E-Mails, Fotos
Datenleck – Was tun? Die 7 Sofortmaßnahmen
Wenn Sie erfahren, dass Sie von einem Datenleck betroffen sind, zählt jede Minute. Folgen Sie dieser Checkliste in genau dieser Reihenfolge:
- Passwort sofort ändern: Ändern Sie das Passwort des betroffenen Kontos und aller Konten, bei denen Sie dasselbe Passwort verwendet haben.
- Zwei-Faktor-Authentifizierung (2FA) aktivieren: Aktivieren Sie 2FA überall dort, wo es angeboten wird – idealerweise per Authenticator-App, nicht per SMS.
- Bank und Kreditkarteninstitut informieren: Bei Finanzdaten-Leaks sofort die Karten sperren lassen (Notruf 116 116 in Deutschland).
- Konten auf verdächtige Aktivitäten prüfen: Kontrollieren Sie E-Mail-Postfach, Bankkonten und Online-Profile auf unbekannte Logins oder Transaktionen.
- Beweise sichern: Erstellen Sie Screenshots der Benachrichtigung, verdächtiger E-Mails und ungewöhnlicher Aktivitäten.
- Anzeige bei der Polizei erstatten: Bei finanziellem Schaden oder Identitätsdiebstahl ist eine Strafanzeige unerlässlich.
- Datenschutzbehörde informieren: Melden Sie den Vorfall bei der zuständigen Aufsichtsbehörde (BfDI oder Landesdatenschutzbeauftragter).
Wie erfahre ich überhaupt von einem Datenleck?
Unternehmen sind nach Art. 34 DSGVO verpflichtet, Betroffene bei einem hohen Risiko unverzüglich zu informieren. In der Praxis erfahren Sie von einem Leck meist auf folgenden Wegen:
Offizielle Benachrichtigung des Unternehmens
Per E-Mail oder Brief informiert Sie das betroffene Unternehmen. Achten Sie darauf: Solche Mails sind ein beliebtes Phishing-Ziel. Klicken Sie nie auf Links in der E-Mail, sondern besuchen Sie die Website direkt.
Selbstprüfung mit Online-Tools
Es gibt seriöse, kostenlose Dienste, mit denen Sie prüfen können, ob Ihre Daten in bekannten Lecks auftauchen:
- Have I Been Pwned (haveibeenpwned.com) – die wohl bekannteste Datenbank
- HPI Identity Leak Checker des Hasso-Plattner-Instituts
- Firefox Monitor von Mozilla
Verdächtige Aktivitäten
Manchmal fällt ein Leck erst durch Folgen auf: unbekannte Logins, plötzliche Spam-Wellen, abgebuchte Beträge oder Mahnungen für nie bestellte Produkte.
Ihre Rechte als Betroffener nach der DSGVO
Die Datenschutz-Grundverordnung gibt Ihnen als Betroffenem starke Rechte gegenüber dem Unternehmen, das das Datenleck verursacht hat.
| Recht | Artikel DSGVO | Was bedeutet das? |
|---|---|---|
| Auskunftsrecht | Art. 15 | Sie können erfahren, welche Daten gespeichert sind |
| Recht auf Löschung | Art. 17 | "Recht auf Vergessenwerden" – Daten müssen gelöscht werden |
| Benachrichtigungspflicht | Art. 34 | Unternehmen muss Sie bei hohem Risiko informieren |
| Schadensersatz | Art. 82 | Sie können materiellen und immateriellen Schaden geltend machen |
| Beschwerderecht | Art. 77 | Beschwerde bei der Aufsichtsbehörde möglich |
Schadensersatz nach DSGVO – realistisch?
Deutsche Gerichte sprechen zunehmend Schadensersatz für Datenlecks zu, auch ohne nachweisbaren materiellen Schaden. Die Beträge variieren stark zwischen 100 € und mehreren tausend Euro pro Fall. Der EuGH hat 2023 klargestellt, dass auch der bloße Kontrollverlust über Daten einen ersatzfähigen Schaden darstellen kann.
Identitätsdiebstahl: Wenn das Datenleck zum Albtraum wird
Die schlimmste Folge eines Datenlecks ist Identitätsdiebstahl. Kriminelle bestellen Waren auf Ihren Namen, eröffnen Konten oder schließen Verträge ab. So erkennen und bekämpfen Sie es:
Warnzeichen für Identitätsdiebstahl
- Mahnungen oder Rechnungen für nie bestellte Produkte
- Inkasso-Briefe von unbekannten Firmen
- Negative SCHUFA-Einträge ohne ersichtlichen Grund
- Bestätigungs-E-Mails für Konten, die Sie nicht eröffnet haben
- Steuerbescheide mit unbekannten Einnahmen
Was tun bei bestätigtem Identitätsdiebstahl?
- Strafanzeige erstatten – online über die Internetwache Ihres Bundeslandes oder bei jeder Polizeidienststelle
- SCHUFA-Selbstauskunft anfordern (kostenlos einmal jährlich nach Art. 15 DSGVO)
- Falsche SCHUFA-Einträge widersprechen mit Verweis auf die Strafanzeige
- Betroffene Unternehmen kontaktieren und Verträge anfechten
- Anwalt einschalten – viele Rechtsschutzversicherungen decken Datenschutzfälle ab
Langfristiger Schutz: So minimieren Sie das Risiko künftiger Datenlecks
Sie können nicht verhindern, dass Unternehmen gehackt werden. Aber Sie können den Schaden für sich persönlich drastisch reduzieren.
1. Passwort-Hygiene
Verwenden Sie für jeden Dienst ein einzigartiges, komplexes Passwort. Ein Passwort-Manager wie Bitwarden, 1Password oder KeePass ist heute Pflicht – nicht Kür. So führt ein einzelnes Datenleck nicht zur Kettenreaktion.
2. E-Mail-Aliase nutzen
Verwenden Sie für verschiedene Dienste unterschiedliche E-Mail-Adressen oder Aliase (z.B. via SimpleLogin oder AnonAddy). Wird eine Adresse geleakt, betrifft es nur einen einzigen Dienst.
3. Datensparsamkeit
Geben Sie online nur die wirklich notwendigen Daten an. Geburtsdatum, Telefonnummer und Adresse müssen bei einem Newsletter-Abo nicht angegeben werden.
4. VPN für mehr Privatsphäre
Ein VPN verschlüsselt Ihren Internetverkehr und schützt vor dem Abfangen sensibler Daten in öffentlichen WLANs. Welche Lösung sich lohnt, lesen Sie in unserem Artikel VPN Kostenlos vs Bezahlt: Was ist wirklich besser?.
5. Sichere Links teilen
Wenn Sie Links zu sensiblen Inhalten teilen, sollten diese geschützt sein. Mit einem URL-Shortener wie Lunyb können Sie Links mit Passwortschutz und Ablaufdatum versehen, sodass selbst bei einem Datenleck der Empfängerdaten der eigentliche Inhalt geschützt bleibt.
6. Regelmäßige Sicherheitschecks
Prüfen Sie monatlich:
- Have I Been Pwned auf neue Leaks Ihrer E-Mail-Adressen
- Bank- und Kreditkartenabrechnungen
- Aktive Sessions in wichtigen Online-Konten
- SCHUFA-Einträge (jährlich kostenlos)
Sonderfall: Datenleck am Arbeitsplatz
Sind Sie von einem Datenleck Ihres Arbeitgebers betroffen, gelten zusätzliche Regeln. Der Arbeitgeber muss den Vorfall innerhalb von 72 Stunden der Datenschutzbehörde melden (Art. 33 DSGVO) und bei hohem Risiko auch die betroffenen Mitarbeiter informieren.
Als Betroffener haben Sie zusätzlich Anspruch auf:
- Detaillierte Informationen über Art und Umfang des Lecks
- Auskunft über die ergriffenen Schutzmaßnahmen
- Konkrete Empfehlungen zum Selbstschutz
Für Unternehmer, die selbst Verantwortliche sind, lohnt sich ein Blick in unseren Leitfaden zur Cybersicherheit für KMU oder den Datenschutz-Leitfaden für Schweizer Unternehmen.
Wann lohnt sich ein Anwalt?
Ein Fachanwalt für IT-Recht oder Datenschutzrecht ist empfehlenswert, wenn:
- Ein finanzieller Schaden über 500 € entstanden ist
- Identitätsdiebstahl mit komplexen Folgen vorliegt
- Das Unternehmen nicht angemessen reagiert oder die Auskunft verweigert
- Sie Schadensersatz nach Art. 82 DSGVO geltend machen wollen
- Sammelklagen oder Musterfeststellungsverfahren anhängig sind
Viele Kanzleien bieten kostenlose Erstberatungen an. Auch Verbraucherzentralen unterstützen Betroffene oft kostenfrei.
Aktuelle Entwicklungen 2026: KI und Datenlecks
Mit dem Einsatz von KI-Systemen entstehen neue Risiken. Trainingsdaten von KI-Modellen können sensible Informationen enthalten, und KI-gestützte Phishing-Angriffe werden immer raffinierter. Das neue EU-KI-Gesetz bringt zusätzliche Schutzregeln für Betroffene, deren Daten in KI-Systemen verarbeitet werden.
FAQ: Häufige Fragen zum Datenleck
Wie lange habe ich Zeit, Schadensersatz nach einem Datenleck geltend zu machen?
Die regelmäßige Verjährungsfrist beträgt drei Jahre, beginnend mit dem Ende des Jahres, in dem Sie vom Schaden und der verantwortlichen Person erfahren haben. Bei Identitätsdiebstahl mit verzögerten Folgen können auch längere Fristen gelten.
Muss ich mich selbst um die Meldung an die Datenschutzbehörde kümmern?
Nein, die Meldepflicht nach Art. 33 DSGVO trifft das Unternehmen, nicht Sie. Sie können aber eine Beschwerde nach Art. 77 DSGVO einreichen, wenn Sie der Meinung sind, dass das Unternehmen seinen Pflichten nicht nachgekommen ist. Zuständig ist der Bundesbeauftragte für Datenschutz (BfDI) oder die Landesdatenschutzbehörde.
Kann ich Schadensersatz auch ohne nachweisbaren finanziellen Schaden bekommen?
Ja. Der EuGH hat mehrfach bestätigt, dass auch immaterieller Schaden – etwa der Kontrollverlust über die eigenen Daten oder die Sorge vor Missbrauch – ersatzfähig sein kann. Deutsche Gerichte sprechen hierfür typischerweise 100 bis 1.500 € zu, je nach Schwere des Lecks.
Was tun, wenn das betroffene Unternehmen nicht reagiert?
Setzen Sie zunächst eine schriftliche Frist von zwei Wochen für die Auskunft nach Art. 15 DSGVO. Reagiert das Unternehmen nicht, können Sie Beschwerde bei der Datenschutzbehörde einreichen oder einen Anwalt einschalten. Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes drohen dem Unternehmen.
Ist Have I Been Pwned wirklich sicher zu nutzen?
Ja. Der Dienst des Sicherheitsforschers Troy Hunt ist seit über 10 Jahren etabliert und gilt als Goldstandard. Er prüft nur, ob Ihre E-Mail in bekannten Leaks auftaucht – Sie geben keine Passwörter preis. Auch das deutsche Hasso-Plattner-Institut bietet einen vergleichbaren, datenschutzkonformen Dienst an.
Fazit: Schnell handeln, ruhig bleiben, langfristig vorsorgen
Ein Datenleck ist unangenehm, aber kein unkontrollierbares Schicksal. Mit den richtigen Sofortmaßnahmen – Passwortwechsel, 2FA, Bankinformation – begrenzen Sie den Schaden in den ersten Stunden. Mit der Wahrnehmung Ihrer DSGVO-Rechte sichern Sie sich rechtlich ab. Und mit langfristiger Datenschutz-Hygiene reduzieren Sie das Risiko künftiger Vorfälle drastisch.
Wichtig ist: Geraten Sie nicht in Panik, aber schieben Sie nichts auf. Jede Stunde zählt, wenn Kriminelle Ihre Daten in Echtzeit missbrauchen können. Mit diesem Leitfaden haben Sie alle wichtigen Schritte an der Hand – speichern Sie ihn am besten als Lesezeichen, damit Sie im Ernstfall sofort handeln können.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Cybersicherheit für Österreichische KMU 2026: Der Komplette Leitfaden
Österreichische KMU stehen 2026 vor neuen Herausforderungen: NIS2-Umsetzung, KI-gestützte Angriffe und verschärfte Regulierung. Dieser Leitfaden zeigt praxisnah, wie Sie Ihr Unternehmen wirksam schützen und gleichzeitig gesetzliche Vorgaben erfüllen.
Was Google über Sie weiß: Der komplette Leitfaden zu Ihren Daten 2026
Google sammelt täglich enorme Mengen an persönlichen Daten – von Suchanfragen über Standorte bis hin zu Sprachaufnahmen. In diesem umfassenden Leitfaden erfahren Sie genau, welche Informationen Google über Sie speichert, wie Sie diese einsehen und welche konkreten Schritte Sie unternehmen können, um Ihre Privatsphäre zurückzugewinnen.
Phishing-Angriffe Erkennen und Vermeiden: Der Komplette Leitfaden 2026
Phishing-Angriffe werden 2026 immer raffinierter und stellen eine massive Bedrohung dar. Dieser umfassende Leitfaden zeigt, wie Sie Phishing zuverlässig erkennen, sich technisch und verhaltensbasiert schützen und im Ernstfall richtig reagieren – inkl. praktischer Beispiele und Tool-Vergleich.
Öffentliches WLAN: Ist es Sicher? - Umfassender Sicherheitsleitfaden 2026
Öffentliches WLAN birgt erhebliche Sicherheitsrisiken, von Man-in-the-Middle-Angriffen bis hin zu Datendiebstahl. Dieser umfassende Leitfaden zeigt Ihnen, wie Sie sich effektiv schützen können.