Egidio
Dossier · 2026

Datenlecks in Deutschland: die Zahlen der BfDI

Kein abstraktes Risiko: 2025 gingen bei der deutschen Datenschutzaufsicht tausende Meldungen über Datenschutzverstöße ein — und mehrere große, namentlich dokumentierte Fälle zeigen, wie diese Daten anschließend in Betrugsanrufe und SMS-Kampagnen fließen.

Der direkte Zusammenhang mit Betrugsanrufen

Ein Datenleck bleibt selten im betroffenen Unternehmen. Sobald Name, Telefonnummer, Bestellhistorie oder Bankverbindung im Umlauf sind, werden sie zum Rohstoff für Betrüger, die ihren Anruf oder ihre SMS gezielt personalisieren — statt eine generische Nachricht aufs Geratewohl zu verschicken. Genau diese Kombination aus echten persönlichen Daten und einem glaubwürdigen Vorwand macht personalisierte Betrugsversuche deutlich wirksamer als Massen-Spam.

Deutschland: die Zahlen der Aufsicht

9.170
Meldungen von Datenschutzverstößen, die die BfDI im Jahr 2025 entgegennahm — zusätzlich zu 11.824 Eingaben und Beschwerden, rund 36 % mehr als im Vorjahr.
BfDI, 34. Tätigkeitsbericht, übergeben am 06.05.2026. Konsultiert am 15.07.2026.
45 Mio. €
Rekordbußgeld der BfDI gegen Vodafone GmbH — das höchste je von einer deutschen Aufsichtsbehörde verhängte Bußgeld, wegen mangelhafter Kontrolle von Vertriebspartnern und Sicherheitslücken bei der Authentifizierung.
BfDI, Pressemitteilung vom 03.06.2025. Konsultiert am 15.07.2026.

Drei dokumentierte Fälle zeigen die Bandbreite:

März 2025
Samsung Deutschland — ein Angreifer veröffentlichte rund 270.000 Kundendatensätze (Namen, E-Mail-Adressen, Lieferadressen, Bestellnummern, vollständige Support-Ticket-Inhalte) auf einem Hackerforum. Die Daten stammten nicht direkt von Samsung, sondern vom Dresdner Dienstleister Spectos GmbH, der das Support-Ticketsystem betreibt — Zugangsdaten eines Mitarbeiters waren bereits 2021 durch eine Infostealer-Infektion gestohlen und nie erneuert worden.
3. Juni 2025
Vodafone GmbH — die BfDI verhängte zwei Bußgelder von insgesamt 45 Millionen Euro: 15 Millionen Euro wegen jahrelang mangelhafter Kontrolle von Vertriebspartner-Agenturen, deren Mitarbeiter Kundendaten missbrauchten, und 30 Millionen Euro wegen erheblicher Sicherheitsmängel bei der Authentifizierung im Kundenportal „MeinVodafone".
14. April 2026
Universitätskliniken — ein Angriff auf den externen Abrechnungsdienstleister Unimed (Wadern) betraf über 120.000 Privatpatienten deutscher Unikliniken; erbeutet wurden Stammdaten, Abrechnungsinformationen, Diagnosen und Bankverbindungen. Am stärksten betroffen: Universitätsklinikum Freiburg (54.000 Datensätze) und Uniklinik Köln (30.000 Datensätze).

Das Vokabular, das man kennen sollte

Credential Stuffing

Ein Angreifer probiert massenhaft Zugangsdaten aus einem früheren Leck auf anderen Diensten aus — in der Hoffnung, dass Sie dasselbe Passwort mehrfach verwenden.

Password Spraying

Das Gegenteil von Brute-Force: Ein Angreifer probiert ein sehr gängiges Passwort bei sehr vielen verschiedenen Konten aus, um unter dem Radar automatischer Erkennungssysteme zu bleiben.

MFA-Fatigue

Ein Angreifer, der bereits Ihr Passwort besitzt, löst eine Flut von Zwei-Faktor-Bestätigungsanfragen aus, in der Hoffnung, dass Sie eine davon aus Erschöpfung oder Versehen bestätigen.

SIM-Swapping

Ein Angreifer übernimmt Ihre Telefonnummer bei Ihrem Mobilfunkanbieter, oft mithilfe geleakter persönlicher Daten, um SMS-Codes zur Zwei-Faktor-Authentifizierung abzufangen. Ausführlich im Glossar.

🔒 Ihre Daten können geleakt sein, ohne dass Sie selbst etwas falsch gemacht haben — Schutz bleibt trotzdem im Nachhinein möglich: Egidio erkennt Muster von Anrufen und SMS, die aus gestohlenen Daten aufgebaut sind, auch wenn sie personalisiert wirken. Siehe wie Medusa funktioniert.

Häufig gestellte Fragen

Wie viele Datenschutzverstöße werden in Deutschland gemeldet?

Laut dem 34. Tätigkeitsbericht der BfDI gingen 2025 insgesamt 9.170 Meldungen von Datenschutzverstößen bei der Behörde ein. Hinzu kommen 11.824 Eingaben und Beschwerden — ein Anstieg von rund 36 % gegenüber dem Vorjahr.

Wie erfahre ich, ob meine Daten in einem Leck aufgetaucht sind?

Have I Been Pwned (haveibeenpwned.com), ein kostenloser Dienst des Sicherheitsforschers Troy Hunt, prüft, ob Ihre E-Mail-Adresse in bekannten Datenlecks auftaucht — auch der Samsung-Deutschland-Vorfall von März 2025 ist dort erfasst.

Warum führt ein Datenleck zu Betrugsanrufen?

Weil ein Leck oft Name, Telefonnummer, Bestellhistorie oder sogar Bankverbindung enthält — genug, um einen Anruf oder eine SMS glaubwürdig und persönlich zu gestalten, statt einer generischen Massennachricht.

Mehr entdecken