Datenleck: Was Tun als Betroffener? Der Notfallplan 2026
Ein Datenleck kann jeden treffen – vom Kunden eines großen Online-Shops bis zum Nutzer einer kleinen App. Wenn Sie eine Benachrichtigung erhalten, dass Ihre persönlichen Daten kompromittiert wurden, ist schnelles und methodisches Handeln entscheidend. Dieser Leitfaden zeigt Ihnen Schritt für Schritt, was Sie als Betroffener eines Datenlecks tun sollten, welche Rechte Sie nach der DSGVO haben und wie Sie sich langfristig schützen.
Was ist ein Datenleck?
Ein Datenleck (auch Datenpanne oder Data Breach) bezeichnet den unbeabsichtigten oder unrechtmäßigen Zugriff auf, die Offenlegung, Veränderung oder Vernichtung personenbezogener Daten. Nach Artikel 4 Nr. 12 DSGVO liegt eine Verletzung des Schutzes personenbezogener Daten immer dann vor, wenn die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten beeinträchtigt wird.
Typische Ursachen sind:
- Cyberangriffe (Hacking, Ransomware, Phishing)
- Fehlkonfigurierte Datenbanken oder Cloud-Speicher
- Verlorene oder gestohlene Geräte
- Insider-Angriffe durch Mitarbeitende
- Menschliche Fehler (z.B. falsch adressierte E-Mails)
Welche Daten sind besonders kritisch?
Nicht alle Datenlecks haben die gleiche Tragweite. Besonders schützenswert und potenziell gefährlich sind:
- Zugangsdaten: E-Mail-Adressen mit Passwörtern
- Finanzdaten: Kreditkarteninformationen, IBAN, PayPal-Daten
- Identitätsdaten: Personalausweisnummer, Geburtsdatum, Anschrift
- Gesundheitsdaten: Diagnosen, Rezepte, Behandlungen
- Biometrische Daten: Fingerabdrücke, Gesichtsscans
Datenleck – was tun? Die ersten 24 Stunden
In den ersten 24 Stunden nach Bekanntwerden eines Datenlecks sollten Sie strukturiert vorgehen, um den Schaden zu begrenzen. Panik ist ein schlechter Ratgeber – ein klarer Notfallplan hingegen kann Sie vor Identitätsdiebstahl und finanziellen Verlusten bewahren.
Schritt 1: Umfang des Lecks bewerten
Lesen Sie die Benachrichtigung des betroffenen Unternehmens sorgfältig. Nach Artikel 34 DSGVO ist ein Unternehmen verpflichtet, Sie unverzüglich zu informieren, wenn ein hohes Risiko für Ihre persönlichen Rechte besteht. Klären Sie:
- Welche Datenkategorien sind betroffen?
- Wann fand das Leck statt?
- Welche Maßnahmen hat das Unternehmen bereits ergriffen?
- Gibt es konkrete Handlungsempfehlungen?
Schritt 2: Passwörter sofort ändern
Ändern Sie umgehend das Passwort des betroffenen Dienstes – und aller Dienste, bei denen Sie dasselbe oder ein ähnliches Passwort verwendet haben. Nutzen Sie einen Passwort-Manager, um für jeden Dienst ein einzigartiges, komplexes Passwort zu erstellen. Prüfen Sie zusätzlich mit unserer Anleitung zur Passwort-Leak-Prüfung, ob weitere Zugangsdaten von Ihnen im Umlauf sind.
Schritt 3: Zwei-Faktor-Authentifizierung aktivieren
Aktivieren Sie überall dort, wo es möglich ist, die Zwei-Faktor-Authentifizierung (2FA). Bevorzugen Sie Authenticator-Apps (Authy, Google Authenticator) oder Hardware-Token (YubiKey) gegenüber SMS-basierten Verfahren, die anfällig für SIM-Swapping sind.
Schritt 4: Bankkonten und Kreditkarten überwachen
Waren Finanzdaten betroffen, informieren Sie umgehend Ihre Bank. Lassen Sie ggf. Karten sperren und neu ausstellen. Überprüfen Sie tägliche Kontoauszüge auf verdächtige Buchungen. Bei ungewöhnlichen Aktivitäten haben Sie in der Regel 8 Wochen Zeit, Lastschriften zurückzubuchen.
Rechte als Betroffener nach der DSGVO
Als Betroffener eines Datenlecks in Deutschland haben Sie umfassende Rechte nach der Datenschutz-Grundverordnung (DSGVO). Das verantwortliche Unternehmen ist verpflichtet, diese Rechte zu wahren und Ihnen bei der Ausübung zu helfen.
Ihre wichtigsten Rechte im Überblick
| Recht | DSGVO-Artikel | Was es bedeutet |
|---|---|---|
| Auskunftsrecht | Art. 15 | Sie können erfahren, welche Daten über Sie verarbeitet werden |
| Recht auf Löschung | Art. 17 | Sie können die Löschung Ihrer Daten verlangen |
| Recht auf Berichtigung | Art. 16 | Falsche Daten müssen korrigiert werden |
| Widerspruchsrecht | Art. 21 | Sie können der Verarbeitung widersprechen |
| Recht auf Schadensersatz | Art. 82 | Bei materiellen oder immateriellen Schäden |
| Beschwerderecht | Art. 77 | Beschwerde bei der Aufsichtsbehörde |
Schadensersatzansprüche geltend machen
Nach Artikel 82 DSGVO haben Sie Anspruch auf Schadensersatz, wenn Ihnen durch das Datenleck ein materieller (z.B. finanzieller Schaden) oder immaterieller Schaden (z.B. psychische Belastung, Rufschädigung) entstanden ist. Der Europäische Gerichtshof hat 2023 klargestellt, dass bereits die Sorge vor Datenmissbrauch als immaterieller Schaden anerkannt werden kann.
Realistische Größenordnungen für Schadensersatz nach deutscher Rechtsprechung:
- Einfaches Datenleck (E-Mail, Name): 100 – 500 €
- Sensible Daten (Finanzdaten, Ausweisdaten): 500 – 2.500 €
- Besonders sensible Daten (Gesundheit, Sexualität): bis zu 5.000 €
Beschwerde bei der Aufsichtsbehörde
Sind Sie mit dem Umgang des Unternehmens unzufrieden, können Sie kostenlos Beschwerde bei einer Datenschutz-Aufsichtsbehörde einlegen. In Deutschland ist je nach Sitz des Unternehmens die jeweilige Landesdatenschutzbehörde oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig.
So legen Sie Beschwerde ein
- Ermitteln Sie die zuständige Behörde (nach Bundesland des Unternehmenssitzes)
- Nutzen Sie das Online-Beschwerdeformular der Behörde
- Fügen Sie alle relevanten Nachweise bei (Benachrichtigung, Screenshots, E-Mail-Verkehr)
- Beschreiben Sie den Sachverhalt sachlich und chronologisch
- Formulieren Sie klar, was Sie erwarten (Untersuchung, Sanktion, etc.)
Die Aufsichtsbehörde muss Sie nach spätestens 3 Monaten über den Stand des Verfahrens informieren.
Identitätsdiebstahl vorbeugen
Nach einem Datenleck sind Sie besonders anfällig für Identitätsdiebstahl. Kriminelle nutzen gestohlene Daten, um in Ihrem Namen Verträge abzuschließen, Kredite aufzunehmen oder Betrugsdelikte zu begehen.
SCHUFA-Auskunft und Sperrvermerk
Fordern Sie kostenlos eine SCHUFA-Selbstauskunft nach § 34 BDSG an. So sehen Sie, ob in Ihrem Namen neue Verträge geschlossen wurden. Bei konkretem Verdacht können Sie einen SCHUFA-Sperrvermerk beantragen, der Missbrauch erschwert.
Warnung vor Phishing-Wellen
Nach großen Datenlecks folgen häufig gezielte Phishing-Kampagnen. Kriminelle wissen, dass Sie beunruhigt sind, und versenden gefälschte E-Mails im Namen des betroffenen Unternehmens, Ihrer Bank oder Behörden. Achten Sie besonders auf:
- Dringlichkeitsdruck („Handeln Sie sofort!")
- Links zu vermeintlichen Login-Seiten
- Anhänge in ungewöhnlichen Formaten
- Anrufe von angeblichen Sicherheitsmitarbeitern
Erhalten Sie verdächtige Anrufe, hilft Ihnen unsere Anleitung zum Melden von Betrugsnummern. Für den Umgang mit unerwünschten Werbeanrufen empfehlen wir zusätzlich unsere Anleitung zum Blockieren von Spam-Anrufen.
Langfristige Schutzmaßnahmen nach einem Datenleck
Ein Datenleck ist kein einmaliges Ereignis – Ihre Daten können jahrelang im Darknet zirkulieren. Etablieren Sie deshalb dauerhafte Schutzmaßnahmen, die Ihre digitale Sicherheit nachhaltig verbessern.
1. Passwort-Hygiene etablieren
- Nutzen Sie einen Passwort-Manager (Bitwarden, 1Password, KeePass)
- Erstellen Sie für jeden Dienst ein einzigartiges Passwort
- Mindestlänge: 16 Zeichen, komplex und zufällig
- Ändern Sie kritische Passwörter regelmäßig
2. E-Mail-Adressen segmentieren
Verwenden Sie unterschiedliche E-Mail-Adressen für verschiedene Zwecke: eine für Banking und Behörden, eine für persönliche Kommunikation, eine für Online-Shopping und Newsletter. Anonyme Weiterleitungsdienste wie AnonAddy oder SimpleLogin ermöglichen es, für jeden Dienst eine eigene Wegwerf-Adresse zu nutzen.
3. Daten sparsam teilen
Prüfen Sie kritisch, welche Daten Sie bei Registrierungen wirklich preisgeben müssen. Nach Artikel 5 DSGVO gilt der Grundsatz der Datenminimierung – Unternehmen dürfen nur die Daten erheben, die für den Zweck erforderlich sind. Bei Links, die Sie öffentlich teilen, können Dienste wie Lunyb helfen: Als datenschutzfreundlicher URL-Shortener minimiert Lunyb die Weitergabe von Tracking-Informationen und schützt die Privatsphäre Ihrer Empfänger.
4. Netzwerkschutz stärken
- Nutzen Sie verschlüsseltes DNS (DNS-over-HTTPS oder DNS-over-TLS)
- Setzen Sie einen datenschutzfreundlichen Browser ein (Firefox, Brave)
- Installieren Sie Tracker- und Werbeblocker (uBlock Origin)
- Aktivieren Sie die Firewall Ihres Betriebssystems
5. Regelmäßige Sicherheitschecks
Prüfen Sie mindestens vierteljährlich:
- Ob Ihre E-Mail-Adressen in neuen Datenlecks auftauchen (Have I Been Pwned)
- Ob unbekannte Geräte in Ihren Online-Konten aktiv sind
- Ob Ihr Smartphone Anzeichen einer Kompromittierung zeigt (siehe 10 Warnzeichen, dass Ihr Handy gehackt wurde)
- Ihre Kreditkartenabrechnungen und Kontobewegungen
Besonderheiten bei bestimmten Datenlecks
Datenleck beim Arbeitgeber
Sind Sie über Ihren Arbeitgeber betroffen (z.B. HR-Systeme, Lohndaten), gelten besondere Schutzpflichten. Ihr Arbeitgeber ist verpflichtet, den Betriebsrat und die zuständige Aufsichtsbehörde binnen 72 Stunden zu informieren. Sie können zusätzlich zu allgemeinen Rechten arbeitsrechtliche Ansprüche geltend machen.
Datenleck bei Gesundheitsdaten
Gesundheitsdaten unterliegen dem strengsten Schutz nach Artikel 9 DSGVO. Bei einem Leck durch Ärzte, Krankenhäuser oder Krankenkassen sind Schadensersatzansprüche typischerweise deutlich höher. Zusätzlich können Sie Beschwerde bei der Ärztekammer einlegen.
Datenleck bei Kindern
Sind Daten Minderjähriger betroffen, haben Erziehungsberechtigte erweiterte Rechte. Der BfDI und die Landesdatenschutzbehörden behandeln solche Fälle mit besonderer Priorität. Für weiterführende Informationen zum Datenschutz in Unternehmen empfehlen wir unseren Leitfaden zum Datenschutz.
Checkliste: Ihr Notfallplan bei einem Datenleck
| Zeitrahmen | Maßnahme | Priorität |
|---|---|---|
| Sofort (0-2 Stunden) | Passwort ändern, 2FA aktivieren | Kritisch |
| Sofort (0-2 Stunden) | Bank informieren, Karten sperren | Kritisch |
| Innerhalb 24 Stunden | Alle Dienste mit gleichem Passwort absichern | Hoch |
| Innerhalb 48 Stunden | SCHUFA-Auskunft anfordern | Hoch |
| Innerhalb 1 Woche | Auskunftsersuchen an Unternehmen stellen | Mittel |
| Innerhalb 1 Monat | Beschwerde bei Aufsichtsbehörde (falls nötig) | Mittel |
| Laufend | Kontobewegungen und Konten überwachen | Hoch |
| Vierteljährlich | Sicherheitscheck aller Konten | Mittel |
FAQ – Häufig gestellte Fragen
Muss mich ein Unternehmen über ein Datenleck informieren?
Ja. Nach Artikel 34 DSGVO muss ein Unternehmen betroffene Personen unverzüglich informieren, wenn das Datenleck voraussichtlich zu einem hohen Risiko für deren Rechte und Freiheiten führt. Bei geringerem Risiko genügt eine Meldung an die Aufsichtsbehörde binnen 72 Stunden.
Wie hoch kann Schadensersatz nach einem Datenleck ausfallen?
Die Höhe hängt von der Sensibilität der betroffenen Daten und dem konkreten Schaden ab. In Deutschland liegen Schadensersatzsummen typischerweise zwischen 100 € und 5.000 € pro betroffener Person. Der Europäische Gerichtshof hat bestätigt, dass auch immaterielle Schäden wie die Sorge vor Missbrauch entschädigt werden können.
Wie erfahre ich, ob meine Daten in einem Datenleck aufgetaucht sind?
Nutzen Sie Dienste wie „Have I Been Pwned" (haveibeenpwned.com) oder den Identity Leak Checker des Hasso-Plattner-Instituts. Diese Tools prüfen, ob Ihre E-Mail-Adresse in bekannten Datenlecks aufgetaucht ist. Registrieren Sie sich für Benachrichtigungen, um bei neuen Lecks sofort informiert zu werden.
Was kostet eine Beschwerde bei der Datenschutzbehörde?
Beschwerden bei den deutschen Aufsichtsbehörden sind kostenlos. Sie benötigen auch keinen Anwalt dafür. Für Schadensersatzklagen empfiehlt sich hingegen anwaltliche Unterstützung – viele Rechtsanwälte bieten hierfür eine kostenlose Erstberatung an, insbesondere wenn eine Rechtsschutzversicherung besteht.
Wie lange kann ich nach einem Datenleck rechtlich vorgehen?
Schadensersatzansprüche nach der DSGVO verjähren nach der regelmäßigen Verjährungsfrist von drei Jahren (§ 195 BGB). Die Frist beginnt am Ende des Jahres, in dem Sie vom Datenleck Kenntnis erlangt haben. Zögern Sie dennoch nicht – je zeitnaher Sie handeln, desto besser lassen sich Beweise sichern und Schäden dokumentieren.
Fazit
Ein Datenleck ist ärgerlich und potenziell gefährlich – aber kein Grund zur Panik. Mit einem strukturierten Notfallplan, klarem Wissen über Ihre Rechte nach der DSGVO und langfristigen Schutzmaßnahmen können Sie Schäden effektiv begrenzen. Handeln Sie schnell, aber überlegt: Passwörter ändern, 2FA aktivieren, Finanzen überwachen und im Ernstfall Ihre Rechte auf Auskunft, Löschung und Schadensersatz konsequent geltend machen. Digitale Sicherheit ist kein Zustand, sondern ein Prozess – und jeder Datenschutzvorfall ist eine Gelegenheit, diesen Prozess zu verbessern.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Ist Mein Handy Gehackt? 10 Warnzeichen und Was Sie Tun Müssen
Woran erkennen Sie, dass Ihr Smartphone gehackt wurde? Dieser Leitfaden zeigt die 10 wichtigsten Warnzeichen – von ungewöhnlichem Akkuverbrauch bis zu unbekannten Apps – und erklärt, wie Sie richtig reagieren.
Phishing-Angriffe Erkennen und Vermeiden: Der Umfassende Sicherheitsleitfaden 2026
Phishing-Angriffe werden immer raffinierter und bedrohen sowohl Privatpersonen als auch Unternehmen. In diesem Leitfaden erfahren Sie, wie Sie verdächtige Nachrichten zuverlässig identifizieren und sich wirksam schützen können.
Cybersicherheit in der Schweiz 2026: Bedrohungen, Gesetze & Schutz
Cybersicherheit in der Schweiz 2026 steht vor neuen Herausforderungen: das revidierte nDSG, die BACS-Meldepflicht und KI-gestützte Angriffe verändern die Bedrohungslage grundlegend. Dieser Leitfaden zeigt Unternehmen und Privatpersonen die wichtigsten Bedrohungen, gesetzlichen Anforderungen und konkreten Schutzmassnahmen.
QR-Code-Betrug: So Schützen Sie Sich vor Quishing 2026
QR-Code-Betrug – auch Quishing genannt – zählt zu den am schnellsten wachsenden Cyberbedrohungen 2026. Erfahren Sie, wie Kriminelle QR-Codes manipulieren und mit welchen 10 konkreten Schutzmaßnahmen Sie sich, Ihre Daten und Ihr Unternehmen effektiv absichern.