facebook-pixel

Datenleck: Was Tun als Betroffener? Der Notfallplan 2026

L
Lunyb Sicherheitsteam
··8 min read

Ein Datenleck kann jeden treffen – vom Kunden eines großen Online-Shops bis zum Nutzer einer kleinen App. Wenn Sie eine Benachrichtigung erhalten, dass Ihre persönlichen Daten kompromittiert wurden, ist schnelles und methodisches Handeln entscheidend. Dieser Leitfaden zeigt Ihnen Schritt für Schritt, was Sie als Betroffener eines Datenlecks tun sollten, welche Rechte Sie nach der DSGVO haben und wie Sie sich langfristig schützen.

Was ist ein Datenleck?

Ein Datenleck (auch Datenpanne oder Data Breach) bezeichnet den unbeabsichtigten oder unrechtmäßigen Zugriff auf, die Offenlegung, Veränderung oder Vernichtung personenbezogener Daten. Nach Artikel 4 Nr. 12 DSGVO liegt eine Verletzung des Schutzes personenbezogener Daten immer dann vor, wenn die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten beeinträchtigt wird.

Typische Ursachen sind:

  • Cyberangriffe (Hacking, Ransomware, Phishing)
  • Fehlkonfigurierte Datenbanken oder Cloud-Speicher
  • Verlorene oder gestohlene Geräte
  • Insider-Angriffe durch Mitarbeitende
  • Menschliche Fehler (z.B. falsch adressierte E-Mails)

Welche Daten sind besonders kritisch?

Nicht alle Datenlecks haben die gleiche Tragweite. Besonders schützenswert und potenziell gefährlich sind:

  • Zugangsdaten: E-Mail-Adressen mit Passwörtern
  • Finanzdaten: Kreditkarteninformationen, IBAN, PayPal-Daten
  • Identitätsdaten: Personalausweisnummer, Geburtsdatum, Anschrift
  • Gesundheitsdaten: Diagnosen, Rezepte, Behandlungen
  • Biometrische Daten: Fingerabdrücke, Gesichtsscans

Datenleck – was tun? Die ersten 24 Stunden

In den ersten 24 Stunden nach Bekanntwerden eines Datenlecks sollten Sie strukturiert vorgehen, um den Schaden zu begrenzen. Panik ist ein schlechter Ratgeber – ein klarer Notfallplan hingegen kann Sie vor Identitätsdiebstahl und finanziellen Verlusten bewahren.

Schritt 1: Umfang des Lecks bewerten

Lesen Sie die Benachrichtigung des betroffenen Unternehmens sorgfältig. Nach Artikel 34 DSGVO ist ein Unternehmen verpflichtet, Sie unverzüglich zu informieren, wenn ein hohes Risiko für Ihre persönlichen Rechte besteht. Klären Sie:

  1. Welche Datenkategorien sind betroffen?
  2. Wann fand das Leck statt?
  3. Welche Maßnahmen hat das Unternehmen bereits ergriffen?
  4. Gibt es konkrete Handlungsempfehlungen?

Schritt 2: Passwörter sofort ändern

Ändern Sie umgehend das Passwort des betroffenen Dienstes – und aller Dienste, bei denen Sie dasselbe oder ein ähnliches Passwort verwendet haben. Nutzen Sie einen Passwort-Manager, um für jeden Dienst ein einzigartiges, komplexes Passwort zu erstellen. Prüfen Sie zusätzlich mit unserer Anleitung zur Passwort-Leak-Prüfung, ob weitere Zugangsdaten von Ihnen im Umlauf sind.

Schritt 3: Zwei-Faktor-Authentifizierung aktivieren

Aktivieren Sie überall dort, wo es möglich ist, die Zwei-Faktor-Authentifizierung (2FA). Bevorzugen Sie Authenticator-Apps (Authy, Google Authenticator) oder Hardware-Token (YubiKey) gegenüber SMS-basierten Verfahren, die anfällig für SIM-Swapping sind.

Schritt 4: Bankkonten und Kreditkarten überwachen

Waren Finanzdaten betroffen, informieren Sie umgehend Ihre Bank. Lassen Sie ggf. Karten sperren und neu ausstellen. Überprüfen Sie tägliche Kontoauszüge auf verdächtige Buchungen. Bei ungewöhnlichen Aktivitäten haben Sie in der Regel 8 Wochen Zeit, Lastschriften zurückzubuchen.

Rechte als Betroffener nach der DSGVO

Als Betroffener eines Datenlecks in Deutschland haben Sie umfassende Rechte nach der Datenschutz-Grundverordnung (DSGVO). Das verantwortliche Unternehmen ist verpflichtet, diese Rechte zu wahren und Ihnen bei der Ausübung zu helfen.

Ihre wichtigsten Rechte im Überblick

RechtDSGVO-ArtikelWas es bedeutet
AuskunftsrechtArt. 15Sie können erfahren, welche Daten über Sie verarbeitet werden
Recht auf LöschungArt. 17Sie können die Löschung Ihrer Daten verlangen
Recht auf BerichtigungArt. 16Falsche Daten müssen korrigiert werden
WiderspruchsrechtArt. 21Sie können der Verarbeitung widersprechen
Recht auf SchadensersatzArt. 82Bei materiellen oder immateriellen Schäden
BeschwerderechtArt. 77Beschwerde bei der Aufsichtsbehörde

Schadensersatzansprüche geltend machen

Nach Artikel 82 DSGVO haben Sie Anspruch auf Schadensersatz, wenn Ihnen durch das Datenleck ein materieller (z.B. finanzieller Schaden) oder immaterieller Schaden (z.B. psychische Belastung, Rufschädigung) entstanden ist. Der Europäische Gerichtshof hat 2023 klargestellt, dass bereits die Sorge vor Datenmissbrauch als immaterieller Schaden anerkannt werden kann.

Realistische Größenordnungen für Schadensersatz nach deutscher Rechtsprechung:

  • Einfaches Datenleck (E-Mail, Name): 100 – 500 €
  • Sensible Daten (Finanzdaten, Ausweisdaten): 500 – 2.500 €
  • Besonders sensible Daten (Gesundheit, Sexualität): bis zu 5.000 €

Beschwerde bei der Aufsichtsbehörde

Sind Sie mit dem Umgang des Unternehmens unzufrieden, können Sie kostenlos Beschwerde bei einer Datenschutz-Aufsichtsbehörde einlegen. In Deutschland ist je nach Sitz des Unternehmens die jeweilige Landesdatenschutzbehörde oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig.

So legen Sie Beschwerde ein

  1. Ermitteln Sie die zuständige Behörde (nach Bundesland des Unternehmenssitzes)
  2. Nutzen Sie das Online-Beschwerdeformular der Behörde
  3. Fügen Sie alle relevanten Nachweise bei (Benachrichtigung, Screenshots, E-Mail-Verkehr)
  4. Beschreiben Sie den Sachverhalt sachlich und chronologisch
  5. Formulieren Sie klar, was Sie erwarten (Untersuchung, Sanktion, etc.)

Die Aufsichtsbehörde muss Sie nach spätestens 3 Monaten über den Stand des Verfahrens informieren.

Identitätsdiebstahl vorbeugen

Nach einem Datenleck sind Sie besonders anfällig für Identitätsdiebstahl. Kriminelle nutzen gestohlene Daten, um in Ihrem Namen Verträge abzuschließen, Kredite aufzunehmen oder Betrugsdelikte zu begehen.

SCHUFA-Auskunft und Sperrvermerk

Fordern Sie kostenlos eine SCHUFA-Selbstauskunft nach § 34 BDSG an. So sehen Sie, ob in Ihrem Namen neue Verträge geschlossen wurden. Bei konkretem Verdacht können Sie einen SCHUFA-Sperrvermerk beantragen, der Missbrauch erschwert.

Warnung vor Phishing-Wellen

Nach großen Datenlecks folgen häufig gezielte Phishing-Kampagnen. Kriminelle wissen, dass Sie beunruhigt sind, und versenden gefälschte E-Mails im Namen des betroffenen Unternehmens, Ihrer Bank oder Behörden. Achten Sie besonders auf:

  • Dringlichkeitsdruck („Handeln Sie sofort!")
  • Links zu vermeintlichen Login-Seiten
  • Anhänge in ungewöhnlichen Formaten
  • Anrufe von angeblichen Sicherheitsmitarbeitern

Erhalten Sie verdächtige Anrufe, hilft Ihnen unsere Anleitung zum Melden von Betrugsnummern. Für den Umgang mit unerwünschten Werbeanrufen empfehlen wir zusätzlich unsere Anleitung zum Blockieren von Spam-Anrufen.

Langfristige Schutzmaßnahmen nach einem Datenleck

Ein Datenleck ist kein einmaliges Ereignis – Ihre Daten können jahrelang im Darknet zirkulieren. Etablieren Sie deshalb dauerhafte Schutzmaßnahmen, die Ihre digitale Sicherheit nachhaltig verbessern.

1. Passwort-Hygiene etablieren

  • Nutzen Sie einen Passwort-Manager (Bitwarden, 1Password, KeePass)
  • Erstellen Sie für jeden Dienst ein einzigartiges Passwort
  • Mindestlänge: 16 Zeichen, komplex und zufällig
  • Ändern Sie kritische Passwörter regelmäßig

2. E-Mail-Adressen segmentieren

Verwenden Sie unterschiedliche E-Mail-Adressen für verschiedene Zwecke: eine für Banking und Behörden, eine für persönliche Kommunikation, eine für Online-Shopping und Newsletter. Anonyme Weiterleitungsdienste wie AnonAddy oder SimpleLogin ermöglichen es, für jeden Dienst eine eigene Wegwerf-Adresse zu nutzen.

3. Daten sparsam teilen

Prüfen Sie kritisch, welche Daten Sie bei Registrierungen wirklich preisgeben müssen. Nach Artikel 5 DSGVO gilt der Grundsatz der Datenminimierung – Unternehmen dürfen nur die Daten erheben, die für den Zweck erforderlich sind. Bei Links, die Sie öffentlich teilen, können Dienste wie Lunyb helfen: Als datenschutzfreundlicher URL-Shortener minimiert Lunyb die Weitergabe von Tracking-Informationen und schützt die Privatsphäre Ihrer Empfänger.

4. Netzwerkschutz stärken

  • Nutzen Sie verschlüsseltes DNS (DNS-over-HTTPS oder DNS-over-TLS)
  • Setzen Sie einen datenschutzfreundlichen Browser ein (Firefox, Brave)
  • Installieren Sie Tracker- und Werbeblocker (uBlock Origin)
  • Aktivieren Sie die Firewall Ihres Betriebssystems

5. Regelmäßige Sicherheitschecks

Prüfen Sie mindestens vierteljährlich:

  • Ob Ihre E-Mail-Adressen in neuen Datenlecks auftauchen (Have I Been Pwned)
  • Ob unbekannte Geräte in Ihren Online-Konten aktiv sind
  • Ob Ihr Smartphone Anzeichen einer Kompromittierung zeigt (siehe 10 Warnzeichen, dass Ihr Handy gehackt wurde)
  • Ihre Kreditkartenabrechnungen und Kontobewegungen

Besonderheiten bei bestimmten Datenlecks

Datenleck beim Arbeitgeber

Sind Sie über Ihren Arbeitgeber betroffen (z.B. HR-Systeme, Lohndaten), gelten besondere Schutzpflichten. Ihr Arbeitgeber ist verpflichtet, den Betriebsrat und die zuständige Aufsichtsbehörde binnen 72 Stunden zu informieren. Sie können zusätzlich zu allgemeinen Rechten arbeitsrechtliche Ansprüche geltend machen.

Datenleck bei Gesundheitsdaten

Gesundheitsdaten unterliegen dem strengsten Schutz nach Artikel 9 DSGVO. Bei einem Leck durch Ärzte, Krankenhäuser oder Krankenkassen sind Schadensersatzansprüche typischerweise deutlich höher. Zusätzlich können Sie Beschwerde bei der Ärztekammer einlegen.

Datenleck bei Kindern

Sind Daten Minderjähriger betroffen, haben Erziehungsberechtigte erweiterte Rechte. Der BfDI und die Landesdatenschutzbehörden behandeln solche Fälle mit besonderer Priorität. Für weiterführende Informationen zum Datenschutz in Unternehmen empfehlen wir unseren Leitfaden zum Datenschutz.

Checkliste: Ihr Notfallplan bei einem Datenleck

ZeitrahmenMaßnahmePriorität
Sofort (0-2 Stunden)Passwort ändern, 2FA aktivierenKritisch
Sofort (0-2 Stunden)Bank informieren, Karten sperrenKritisch
Innerhalb 24 StundenAlle Dienste mit gleichem Passwort absichernHoch
Innerhalb 48 StundenSCHUFA-Auskunft anfordernHoch
Innerhalb 1 WocheAuskunftsersuchen an Unternehmen stellenMittel
Innerhalb 1 MonatBeschwerde bei Aufsichtsbehörde (falls nötig)Mittel
LaufendKontobewegungen und Konten überwachenHoch
VierteljährlichSicherheitscheck aller KontenMittel

FAQ – Häufig gestellte Fragen

Muss mich ein Unternehmen über ein Datenleck informieren?

Ja. Nach Artikel 34 DSGVO muss ein Unternehmen betroffene Personen unverzüglich informieren, wenn das Datenleck voraussichtlich zu einem hohen Risiko für deren Rechte und Freiheiten führt. Bei geringerem Risiko genügt eine Meldung an die Aufsichtsbehörde binnen 72 Stunden.

Wie hoch kann Schadensersatz nach einem Datenleck ausfallen?

Die Höhe hängt von der Sensibilität der betroffenen Daten und dem konkreten Schaden ab. In Deutschland liegen Schadensersatzsummen typischerweise zwischen 100 € und 5.000 € pro betroffener Person. Der Europäische Gerichtshof hat bestätigt, dass auch immaterielle Schäden wie die Sorge vor Missbrauch entschädigt werden können.

Wie erfahre ich, ob meine Daten in einem Datenleck aufgetaucht sind?

Nutzen Sie Dienste wie „Have I Been Pwned" (haveibeenpwned.com) oder den Identity Leak Checker des Hasso-Plattner-Instituts. Diese Tools prüfen, ob Ihre E-Mail-Adresse in bekannten Datenlecks aufgetaucht ist. Registrieren Sie sich für Benachrichtigungen, um bei neuen Lecks sofort informiert zu werden.

Was kostet eine Beschwerde bei der Datenschutzbehörde?

Beschwerden bei den deutschen Aufsichtsbehörden sind kostenlos. Sie benötigen auch keinen Anwalt dafür. Für Schadensersatzklagen empfiehlt sich hingegen anwaltliche Unterstützung – viele Rechtsanwälte bieten hierfür eine kostenlose Erstberatung an, insbesondere wenn eine Rechtsschutzversicherung besteht.

Wie lange kann ich nach einem Datenleck rechtlich vorgehen?

Schadensersatzansprüche nach der DSGVO verjähren nach der regelmäßigen Verjährungsfrist von drei Jahren (§ 195 BGB). Die Frist beginnt am Ende des Jahres, in dem Sie vom Datenleck Kenntnis erlangt haben. Zögern Sie dennoch nicht – je zeitnaher Sie handeln, desto besser lassen sich Beweise sichern und Schäden dokumentieren.

Fazit

Ein Datenleck ist ärgerlich und potenziell gefährlich – aber kein Grund zur Panik. Mit einem strukturierten Notfallplan, klarem Wissen über Ihre Rechte nach der DSGVO und langfristigen Schutzmaßnahmen können Sie Schäden effektiv begrenzen. Handeln Sie schnell, aber überlegt: Passwörter ändern, 2FA aktivieren, Finanzen überwachen und im Ernstfall Ihre Rechte auf Auskunft, Löschung und Schadensersatz konsequent geltend machen. Digitale Sicherheit ist kein Zustand, sondern ein Prozess – und jeder Datenschutzvorfall ist eine Gelegenheit, diesen Prozess zu verbessern.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles