---
url: 'https://www.corbado.com/de/blog/datenlecks-deutschland'
title: 'Die 10 größten Datenlecks in Deutschland [2026]'
description: 'Entdecken Sie die 10 größten Datenlecks in Deutschland – vom Bundestag-Hack bis zu Samsung 2025. Kosten, DSGVO-Strafen und Präventionsmethoden erklärt.'
lang: 'de'
author: 'Vincent Delitz'
date: '2026-05-27T10:37:18.304Z'
lastModified: '2026-05-27T10:37:35.019Z'
keywords: 'Datenleck Deutschland, DSGVO-Strafen Deutschland, Cyberangriff Deutschland, Meldung von Datenlecks Deutschland, Samsung Deutschland Datenleck, größtes Datenleck Deutschland 2026, gehackte deutsche Unternehmen, größte Datenlecks Deutschland 2026'
category: 'Authentication'
---
# Die 10 größten Datenlecks in Deutschland [2026]
## Key Facts
- Die durchschnittlichen Kosten eines Datenlecks in Deutschland erreichten 2024 **4,9 Mio. EUR** (rund 5,31 Mio. US-Dollar), womit Deutschland weltweit zu den fünf teuersten Ländern gehört (IBM Cost of a Data Breach Report 2024).
- Deutschland verzeichnet durchweg die **höchste Anzahl an DSGVO-Meldungen zu Datenlecks** in Europa, mit über 77.000 kumulierten Meldungen seit Inkrafttreten der DSGVO im Mai 2018 und rund 32.000 in einem einzigen Erhebungsjahr (DLA Piper GDPR Fines and Data Breach Survey 2021 und 2024).
- Das **H&M-Bußgeld in Nürnberg in Höhe von 35,3 Mio. EUR** im Jahr 2020 ist das höchste DSGVO-Bußgeld, das jemals von einer deutschen Behörde verhängt wurde.
- Bei dem **Datenleck von Samsung Deutschland im März 2025** wurden durch den Drittanbieter Spectos rund 270.000 Kundendatensätze offengelegt – der aufsehenerregendste Drittanbieter-Vorfall des Landes im Jahr 2025.
- Deutsche Verantwortliche müssen Datenlecks der **zuständigen Aufsichtsbehörde** (in der Regel einer der 16 Landesdatenschutzbehörden oder dem BfDI für Bundesbehörden und Telekommunikations-/Postanbieter) gemäß DSGVO-Artikel 33 innerhalb von **72 Stunden** melden.
## 1. Einführung
Deutschland ist die größte Volkswirtschaft Europas und eine der am stärksten von Datenlecks betroffenen Jurisdiktionen des Kontinents. Die durchschnittlichen Kosten eines Datenlecks in Deutschland erreichten **2024 4,9 Mio. EUR** (rund 5,31 Mio. US-Dollar), womit das Land laut dem [IBM Cost of a Data Breach Report 2024](https://www.ibm.com/reports/data-breach) zu den fünf teuersten Ländern weltweit zählt. Seit Inkrafttreten der DSGVO haben deutsche Organisationen mehr Meldungen eingereicht als jeder andere EU-Mitgliedstaat.
Dieser Artikel listet die 10 bedeutendsten Datenlecks der deutschen Geschichte auf – vom Bundestag-Hack 2015 bis zum Datenleck bei Samsung Deutschland 2025 – zusammen mit den Meldevorschriften, DSGVO-Bußgeldern und Präventionsmustern, die für jede in Deutschland tätige Organisation gelten.
## 2. Warum ist Deutschland ein attraktives Ziel für Datenlecks?
Deutschlands Position als industrielles Kraftzentrum Europas, seine geopolitische Rolle in NATO und EU sowie ein fragmentiertes Datenschutzregime mit 16 Behörden führen zusammen zu einer übergroßen Angriffsfläche. Angreifer haben es auf deutsches geistiges Eigentum von hohem Wert in den Bereichen Automobil, Chemie, Maschinenbau und Finanzen abgesehen. Staatlich unterstützte Gruppen zielen auf politische Institutionen ab. Mittelständische Zulieferer mit schwächeren Abwehrmaßnahmen werden als Einstiegspunkt in größere Unternehmen ausgenutzt.
### 2.1 Industrielles Kraftzentrum mit hochwertigem geistigen Eigentum
Deutschland beherbergt weltweit anerkannte Marken in den Bereichen Automobil (Volkswagen, BMW, Mercedes-Benz), Maschinenbau (Siemens, Bosch), Chemie (BASF, Bayer) und Finanzen (Deutsche Bank, Allianz). Diese Unternehmen verfügen über Geschäftsgeheimnisse, Fertigungsdaten, F&E-Pipelines und Kundendatensätze. Diese Konzentration von hochwertigem geistigem Eigentum macht deutsche Organisationen zu einem vorrangigen Ziel für finanziell motivierte Cyberkriminelle und staatlich unterstützte Spionagegruppen, die sich einen Wettbewerbsvorteil verschaffen wollen.
### 2.2 Geopolitische Bedeutung und staatlich unterstützte Bedrohungen
Deutschlands Rolle in der NATO, der EU und den G7 bringt das Land ins Fadenkreuz staatlich unterstützter Operationen. Die mit Russland in Verbindung stehende Gruppe APT28 (Fancy Bear) hat wiederholt den Bundestag und politische Parteien ins Visier genommen. Deutsche Behörden schrieben den Bundestag-Hack von 2015 im Jahr 2020 offiziell der russischen GRU-Einheit 26165 zu. Deutschlands Unterstützung für die Ukraine seit 2022 hat diese Bedrohungen verschärft, was durch mehrere vom BSI und der deutschen Bundesanwaltschaft bestätigte Zuschreibungsfälle belegt wird.
### 2.3 Komplexe regulatorische Landschaft und die Herausforderung Mittelstand
Deutschland setzt die DSGVO durch **16 einzelne Landesdatenschutzbehörden** durch, was zu einer fragmentierten Aufsichtslandschaft führt. Der deutsche Mittelstand – Zehntausende kleiner und mittlerer Unternehmen – verarbeitet sensible Industrie- und Kundendaten, verfügt jedoch oft nicht über Cybersicherheitsressourcen auf Unternehmensniveau. Dies schafft eine breite, ungleichmäßige Angriffsfläche, die Cyberkriminelle über Lieferketten- und Drittanbieter-Vektoren aktiv ausnutzen.
## 3. Die 10 größten Datenlecks in Deutschland
Die folgende Tabelle fasst die zehn größten deutschen Datenlecks nach Umfang, Jahr und regulatorischen Folgen zusammen. Detaillierte Fallbeschreibungen und Präventionsmuster folgen weiter unten.
| # | Unternehmen / Einrichtung | Jahr | Datensätze oder Umfang | Regulatorische Folgen |
| --- | ----------------------------------- | ------- | ---------------------------------------- | ----------------------------------------------------------- |
| 1 | Deutscher Mega-Leak von Zugangsdaten | 2014 | 16 Mio. E-Mail/Passwort-Paare | Vor-DSGVO |
| 2 | Deutscher Bundestag | 2015 | 16 GB, über 5.000 PCs | Staatliche Zuschreibung (2020) |
| 3 | Datenleck deutscher Politiker | 2018/19 | ~1.000 Personen des öffentlichen Lebens | Strafrechtliche Verfolgung |
| 4 | Knuddels.de | 2018 | 1,8 Mio. (330.000 bestätigt) | 20.000 EUR DSGVO-Bußgeld |
| 5 | Mastercard Priceless Specials | 2019 | 90.000 Mitglieder | Untersuchungen eingeleitet |
| 6 | H&M Nürnberg | 2014-19 | Mehrere Hundert Mitarbeiter | **35,3 Mio. EUR DSGVO-Bußgeld** |
| 7 | Scalable Capital | 2020 | 33.000 Kunden | 2.500 EUR Schadenersatz pro Kunde |
| 8 | Universitätsklinikum Düsseldorf | 2020 | 30 Server, Notfallabschaltung | Ermittlungen wegen fahrlässiger Tötung |
| 9 | Motel One | 2023 | 6 TB, 150 Kreditkartendaten | Zusammenarbeit mit Strafverfolgungsbehörden |
| 10 | Samsung Deutschland / Spectos | 2025 | ~270.000 Kundendatensätze | BfDI-Prüfung läuft |
### 3.1 Deutscher Mega-Leak von Zugangsdaten (2014)
| Details | Informationen |
| ------------------------ | -------------------------------------------------------------------------------- |
| Datum | April 2014 (vom BSI bekannt gegeben) |
| Anzahl betroffener Kunden| Etwa 16 Millionen E-Mail- und Passwort-Kombinationen |
| Kompromittierte Daten | - E-Mail-Adressen
- Passwörter
- Anmeldedaten für Online-Dienste |
Im April 2014 bestätigte das Bundesamt für Sicherheit in der Informationstechnik ([BSI](https://www.bsi.bund.de/)), dass die Polizei in Norddeutschland rund 16 Millionen gestohlene E-Mail-Adressen und Passwörter aufgedeckt hatte. Dies geschah drei Monate nach einem ähnlichen Fund von 16 Millionen kompromittierten Zugangsdaten und war damit das bis dato größte Datenleck von Zugangsdaten in der deutschen Geschichte. Rund 3 Millionen Zugangsdaten gehörten deutschen Staatsbürgern. Die gestohlenen Daten wurden aktiv für unbefugte Online-Käufe und Identitätsbetrug genutzt.
Die Entdeckung verdeutlichte die systematische Wiederverwendung von Passwörtern und die Anfälligkeit von Online-Diensten für auf Anmeldedaten basierende Angriffe. Das BSI richtete eine öffentliche Suchseite ein, auf der Bürger überprüfen konnten, ob ihre Zugangsdaten kompromittiert waren.
Präventionsmethoden:
- Einführung von Phishing-resistenter MFA wie Passkeys, um das Risiko der Wiederverwendung von Zugangsdaten zu beseitigen
- Überwachung von Zugangsdaten-Dumps im Darknet und Erzwingen von Resets bei Offenlegung
### 3.2 Bundestag-Hack (2015)
| Details | Informationen |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------ |
| Datum | Mai 2015 (entdeckt), zugeschrieben 2020 |
| Anzahl betroffener Kunden| Über 5.000 Computer, 16 GB exfiltriert, E-Mails von Abgeordneten |
| Kompromittierte Daten | - E-Mails von Abgeordneten
- Interne Parlamentsdokumente
- Verwaltungsdaten
- Daten aus dem Büro des Vizekanzlers |
Im Mai 2015 wurde das interne Netzwerk des Deutschen Bundestages durchbrochen, einer der bedeutendsten staatlich unterstützten Cyberangriffe in der deutschen Geschichte. APT28 (Fancy Bear / Sofacy), eine Einheit des russischen Militärgeheimdienstes GRU, nutzte Spear-Phishing-E-Mails, die als UN-Mitteilungen getarnt waren, um Malware zu installieren. Die Angreifer erlangten administrativen Zugriff, kompromittierten über 5.000 Computer und exfiltrierten rund 16 GB an Daten, darunter Zehntausende von parlamentarischen E-Mails.
Die gesamte IT-Umgebung des Bundestages musste offline genommen und neu aufgebaut werden. Deutschland schrieb den Angriff 2020 offiziell der GRU-Einheit 26165 zu und stellte einen internationalen Haftbefehl gegen Dmitriy Badin aus. Der Vorfall wurde zu einem Wendepunkt in der deutschen Cybersicherheitspolitik.
Präventionsmethoden:
- Durchsetzung von Anti-Phishing-Kontrollen und Phishing-resistenter Authentifizierung für [Regierungsbenutzer](https://www.corbado.com/passkeys-for-public-sector)
- Anwendung von Netzwerksegmentierung und dem Prinzip der geringsten Rechte (Least Privilege), um die laterale Bewegung einzuschränken
### 3.3 Datenleck deutscher Politiker (2018/2019)
| Details | Informationen |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------ |
| Datum | Dezember 2018 (bekannt gegeben Januar 2019) |
| Anzahl betroffener Kunden| Etwa 1.000 Personen des öffentlichen Lebens |
| Kompromittierte Daten | - Telefonnummern und Adressen
- Kreditkarten- und Finanzdaten
- Private Chat-Protokolle
- Persönliche Fotos
- Ausweisdokumente |
Im Dezember 2018 inszenierte ein 20-jähriger Schüler aus Hessen das, was als größtes Datenleck persönlicher Daten von Personen des öffentlichen Lebens in der deutschen Geschichte bezeichnet wurde. Im Rahmen einer im Adventskalender-Stil durchgeführten Veröffentlichungskampagne auf Twitter gab der Angreifer gestohlene persönliche Daten von über 1.000 deutschen Politikern, Journalisten und Prominenten heraus, darunter Bundeskanzlerin Angela Merkel und Bundespräsident Frank-Walter Steinmeier. Die Daten umfassten private Telefonnummern, Wohnadressen, Kreditkarteninformationen, persönliche Chat-Protokolle und Fotos.
Der Täter wurde im Januar 2019 festgenommen. Er hatte keine formale Informatik-Ausbildung und handelte allein. Der Fall deckte eine schwache digitale Hygiene unter der politischen Elite Deutschlands auf.
Präventionsmethoden:
- Durchsetzung von starker MFA bei allen privaten und offiziellen Konten
- Überwachung des Darknets auf offengelegte Zugangsdaten, die mit Beamten in Verbindung stehen
### 3.4 Knuddels.de Datenleck (2018)
| Details | Informationen |
| ------------------------ | --------------------------------------------------------------------------------------------------------- |
| Datum | Juli 2018 (bekannt gegeben September 2018) |
| Anzahl betroffener Kunden| Etwa 330.000 bestätigt (bis zu 1,8 Millionen betroffen) |
| Kompromittierte Daten | - E-Mail-Adressen
- Benutzernamen
- Im Klartext gespeicherte Passwörter
- Echte Namen und Adressen |
Im Juli 2018 wurde die beliebte deutsche Chat-Plattform Knuddels.de von Hackern gehackt, die auf rund 1,8 Millionen Benutzerdatensätze zugriffen, darunter eine Datei mit unverschlüsselten Passwörtern. Die gestohlenen Daten wurden im September 2018 auf Pastebin und Mega veröffentlicht. Das Leck konnte auf einen veralteten Backup-Server zurückgeführt werden, der keine Sicherheitsupdates erhalten hatte.
Der Knuddels-Hack löste das erste DSGVO-Bußgeld in Deutschland aus: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) verhängte **20.000 EUR** wegen der Speicherung von Passwörtern im Klartext, was gegen Artikel 32 der DSGVO verstieß. Die Behörde lobte Knuddels für seine Transparenz und Kooperation und schuf damit einen wichtigen Präzedenzfall für die Durchsetzung der DSGVO in Deutschland.
Präventionsmethoden:
- Ersetzen der Speicherung von Passwörtern im Klartext durch modernes Hashing (bcrypt, Argon2) oder passwortlose Abläufe
- Patchen und Außerbetriebnahme von Legacy-Backup- und Staging-Systemen nach einem strengen Zeitplan
### 3.5 Mastercard Priceless Specials Datenleck (2019)
| Details | Informationen |
| ------------------------ | -------------------------------------------------------------------------------------------------------------------------------- |
| Datum | August 2019 |
| Anzahl betroffener Kunden| Etwa 90.000 Personen |
| Kompromittierte Daten | - Vollständige Namen
- Zahlungskartennummern
- E-Mail- und Wohnadressen
- Telefonnummern
- Geburtsdaten und Geschlecht |
Im August 2019 war das deutsche Treueprogramm von Mastercard, "Priceless Specials", von einem Datenleck betroffen, bei dem persönliche Informationen von etwa 90.000 Mitgliedern offengelegt wurden. Zwei Datendateien mit Namen, [Zahlungskartennummern](https://www.corbado.com/passkeys-for-payment), E-Mail-Adressen, Wohnadressen, Telefonnummern, Geschlecht und Geburtsdatum wurden im Internet veröffentlicht. Passwörter, Ablaufdaten von Karten und CVC-Codes waren nicht enthalten, die offengelegten Daten schufen jedoch erhebliche Risiken für Betrug und Identitätsdiebstahl.
Das Leck wurde auf einen externen Dienstleister zurückgeführt, der Priceless Specials in Deutschland betrieb. Mastercard setzte das Programm aus, nahm die Website vom Netz und benachrichtigte die deutschen und belgischen Datenschutzbehörden. Dutzende formelle Beschwerden folgten, die das Risiko durch Drittanbieter selbst für große Finanzinstitute unterstrichen.
Präventionsmethoden:
- Vorgabe von Sicherheitsüberprüfungen, SLAs für die Meldung von Datenlecks und Verschlüsselungsanforderungen für jeden Drittanbieter
- Kontinuierliche Überwachung externer Plattformen, die PII von Kunden verarbeiten
### 3.6 H&M Mitarbeiter-Überwachungsfall (2014-2019)
| Details | Informationen |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------ |
| Datum | Seit 2014, bekannt gegeben Oktober 2019, Bußgeld Oktober 2020 |
| Anzahl betroffener Kunden| Mehrere Hundert Mitarbeiter des H&M Servicecenters Nürnberg |
| Kompromittierte Daten | - Gesundheitsakten und Diagnosen
- Urlaubs- und Familiendetails
- Religiöse Überzeugungen
- Leistungsbeurteilungen |
Seit mindestens 2014 sammelten Manager im H&M-Servicecenter in Nürnberg systematisch Details über das Privatleben von mehreren Hundert Mitarbeitern. In „Welcome Back Talks“ (Rückkehrgesprächen) nach Krankheit und Urlaub hielten Vorgesetzte Gesundheitsdiagnosen, familiäre Probleme, religiöse Überzeugungen und Urlaubserlebnisse fest. Die Daten wurden auf einem Netzwerklaufwerk gespeichert, das für etwa 50 Manager zugänglich war, und für Personalentscheidungen genutzt.
Die Praxis wurde im Oktober 2019 entdeckt, nachdem ein Konfigurationsfehler das Laufwerk kurzzeitig unternehmensweit sichtbar machte. Im Oktober 2020 verhängte die Hamburger Datenschutzbehörde ein Bußgeld in Höhe von **35,3 Mio. EUR** – das höchste DSGVO-Bußgeld, das je von einer deutschen Behörde verhängt wurde, und eines der größten Bußgelder im Zusammenhang mit Datenschutz am Arbeitsplatz in der europäischen Geschichte.
Präventionsmethoden:
- Beschränkung der Datenerhebung von Mitarbeitern auf das absolut Notwendige und Überprüfbare
- Verpflichtende DSGVO-Schulungen für alle Manager, die mit Personalakten umgehen
### 3.7 Scalable Capital Datenleck (2020)
| Details | Informationen |
| ------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Datum | April–Oktober 2020 (bekannt gegeben Oktober 2020) |
| Anzahl betroffener Kunden| Etwa 33.000 Personen |
| Kompromittierte Daten | - Namen und Adressen
- E-Mail-Adressen
- Kopien von Ausweisdokumenten
- Steuer-IDs
- Bank- und Wertpapierkontodaten
- Fotos |
Im Oktober 2020 meldete der in München ansässige Online-Broker Scalable Capital ein Datenleck, bei dem persönliche und finanzielle Informationen von etwa 33.000 aktuellen und ehemaligen Kunden offengelegt wurden. Anders als bei einem typischen externen Hack handelte es sich bei dem Vorfall um einen Insider-Fall: Eine Person mit internen Kenntnissen griff auf das Dokumentenarchiv zu, in dem Kopien von Ausweisdokumenten, Steuerdaten und Bankkontodetails gespeichert waren. Die gestohlenen Daten tauchten im Darknet auf.
Im Dezember 2021 verurteilte das Landgericht München Scalable Capital zur Zahlung von **2.500 EUR immateriellem Schadensersatz** an einen betroffenen Kunden – das erste rechtskräftige DSGVO-Entschädigungsurteil dieser Art in Europa. Das Gericht stellte fest, dass Scalable Capital es versäumt hatte, Zugangsdaten nach Beendigung von Geschäftsbeziehungen zu widerrufen.
Präventionsmethoden:
- Durchsetzung strenger Zugriffskontrollen nach dem Joiner-Mover-Leaver-Prinzip und sofortiger Widerruf von Zugangsdaten
- Verschlüsselung von gespeicherten Ausweisdokumenten und Finanzunterlagen sowie Protokollierung jedes Zugriffs
### 3.8 Ransomware-Angriff auf das Universitätsklinikum Düsseldorf (2020)
| Details | Informationen |
| ------------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------- |
| Datum | September 2020 |
| Anzahl betroffener Kunden| Krankenhaussysteme, die Tausende von Patienten versorgen |
| Kompromittierte Daten | - 30 Server verschlüsselt
- Patientenplanungssysteme
- Notfallversorgung unterbrochen
- Möglicher Zugriff auf Patientenakten |
Am 10. September 2020 wurde das Universitätsklinikum Düsseldorf (UKD) Opfer eines Ransomware-Angriffs, der rund 30 Server verschlüsselte und das Krankenhaus zwang, sich von der Notfallversorgung abzumelden. Die Angreifer nutzten **CVE-2019-19781** aus, eine Citrix-Schwachstelle, für die bereits seit Januar 2020 ein Patch verfügbar war. Die Ransomware wurde mit der DoppelPaymer-Familie in Verbindung gebracht. Eine 78-jährige Frau, die dringend behandelt werden musste, wurde in ein 30 km entferntes Krankenhaus umgeleitet und starb an den Folgen der Verzögerung.
Deutsche Staatsanwälte leiteten Ermittlungen wegen fahrlässiger Tötung ein; dies wurde weithin als einer der ersten Fälle gemeldet, bei dem ein Todesfall möglicherweise mit einem Cyberangriff in Verbindung stand. Die Lösegeldforderung war an die Heinrich-Heine-Universität gerichtet, nicht an das Krankenhaus – die Angreifer hatten offenbar das falsche Ziel getroffen. Als die Polizei sie informierte, dass Menschenleben in Gefahr waren, zogen sie die Forderung zurück und stellten einen Entschlüsselungsschlüssel zur Verfügung.
Präventionsmethoden:
- Patchen von internetfähigen Anwendungen (VPN, Load Balancer) innerhalb von Tagen, nicht Monaten
- Segmentierung klinischer Systeme von der Unternehmens-IT und Pflege getesteter Offline-Backups
### 3.9 Motel One Ransomware-Angriff (2023)
| Details | Informationen |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Datum | September 2023 |
| Anzahl betroffener Kunden| Unbekannt (3 Jahre Buchungen, angeblich 6 TB gestohlen) |
| Kompromittierte Daten | - Kundennamen und -adressen
- 3 Jahre Buchungsbestätigungen
- Informationen zur Zahlungsmethode
- 150 Kreditkartendetails
- Interne Unternehmensdokumente |
Im September 2023 wurde die in München ansässige Budget-Hotelkette Motel One, die über 90 Hotels in 13 Ländern betreibt, von der Ransomware-Gruppe BlackCat/ALPHV angegriffen. Motel One gab an, dass die operativen Auswirkungen auf ein „relatives Minimum“ beschränkt blieben. BlackCat behauptete, fast 24,5 Millionen Dateien mit einem Gesamtvolumen von etwa 6 TB abgegriffen zu haben, darunter Buchungsbestätigungen aus drei Jahren. Motel One bestätigte, dass auf Kundenadressen und 150 Kreditkartendetails zugegriffen wurde.
Motel One beauftragte zertifizierte IT-Sicherheitsspezialisten, kooperierte mit den Strafverfolgungsbehörden und den Datenschutzbehörden und benachrichtigte die 150 betroffenen Karteninhaber persönlich. Der Fall verdeutlichte das Risiko der Hotelleriebranche in Bezug auf PII-Datensätze mit langen Aufbewahrungsfristen.
Präventionsmethoden:
- Minimierung der Aufbewahrungsfristen für Buchungs- und [Zahlungsdaten](https://www.corbado.com/passkeys-for-payment) auf die gesetzlichen Mindestanforderungen
- Einsatz von EDR und Netzwerksegmentierung, um laterale Bewegungen frühzeitig zu stoppen
### 3.10 Datenleck bei Samsung Deutschland über Spectos (2025)
| Details | Informationen |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Datum | Geleakt im März 2025 |
| Anzahl betroffener Kunden| Etwa 270.000 Kundendatensätze von Samsung Deutschland |
| Kompromittierte Daten | - Vollständige Namen
- E-Mail-Adressen
- Physische Adressen
- Telefonnummern
- Bestellnummern und Produktdaten
- Inhalte von Kundensupport-Tickets (einschließlich Transaktionsdetails) |
Im März 2025 veröffentlichte ein Bedrohungsakteur unter dem Pseudonym „GHNA“ rund **270.000 Kundendatensätze von Samsung Deutschland** in einem beliebten Hackerforum. Die Daten stammten nicht direkt von Samsung, sondern von der [Spectos GmbH](https://www.spectos.com/), einem in Dresden ansässigen Partner für die Messung von Servicequalität, der die Ticketing-Infrastruktur für den Kundensupport von Samsung Deutschland betreibt. Forscher von [Hudson Rock](https://www.hudsonrock.com/blog/samsung-germany-breach-spectos) brachten den Einbruch mit Infostealer-Anmeldedaten in Verbindung, die im Jahr **2021** von einem Spectos-Mitarbeiter gestohlen wurden – Anmeldedaten, die gültig blieben und fast vier Jahre später wiederverwendet wurden.
Die Datensätze legten vollständige Kontexte des Kundensupports offen: Namen, E-Mail-Adressen, Lieferadressen, Bestellnummern, Details zur Sendungsverfolgung und den gesamten Inhalt von Support-Tickets. Diese Kombination ist besonders wertvoll für hochgradig personalisierte Phishing-Kampagnen, die sich an Samsung-Kunden richten. Das Datenleck ist derzeit das meistdiskutierte Datenleck in Deutschland im Jahr 2025 und hat den Fokus der Regulierungsbehörden erneut auf die Identitätshygiene in der Lieferkette und veraltete Zugangsdaten von Anbietern gelenkt.
Präventionsmethoden:
- Rotation und Ablauf von Zugangsdaten von Anbietern nach einem strengen Zeitplan und Durchsetzung von Phishing-resistenter MFA für alle Anbieterkonten
- Kontinuierliches Scannen auf durch Infostealer bezogene Zugangsdaten, die mit der Organisation und ihrer Lieferkette in Verbindung stehen
## 4. Wie man ein Datenleck in Deutschland meldet
Deutsche Verantwortliche müssen eine Verletzung des Schutzes personenbezogener Daten innerhalb von **72 Stunden** nach Bekanntwerden der zuständigen Landesdatenschutzbehörde melden, gemäß Artikel 33 der DSGVO. Führt die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen, schreibt DSGVO-Artikel 34 vor, diese ohne unangemessene Verzögerung zu benachrichtigen. Betreiber kritischer Infrastrukturen müssen zusätzlich das BSI gemäß dem BSI-Gesetz (BSIG) benachrichtigen.
### 4.1 Die 72-Stunden-Regel der DSGVO (Artikel 33)
Gemäß [DSGVO Artikel 33](https://gdpr-info.eu/art-33-gdpr/) muss ein Verantwortlicher eine Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde melden, und zwar **nicht später als 72 Stunden** nach Bekanntwerden. Bei einer verspäteten Meldung muss der Verantwortliche Gründe für die Verzögerung angeben. Die Meldung muss die Art der Verletzung, Kategorien und die ungefähre Zahl der betroffenen Personen, voraussichtliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen beschreiben.
### 4.2 Zuständige Behörden: 16 Landesdatenschutzbehörden plus BfDI
Anders als zentralisierte Rechtsordnungen verfügt Deutschland über **16 Landesdatenschutzbehörden** sowie den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ([BfDI](https://www.bfdi.bund.de/)). Zuständig ist die Landesdatenschutzbehörde der Hauptniederlassung des Verantwortlichen (beispielsweise die Hamburger Datenschutzbehörde für H&M Deutschland, die Bayerische Datenschutzbehörde für Scalable Capital). Bundesbehörden und [Telekommunikationsunternehmen](https://www.corbado.com/passkeys-for-telecom) fallen unter den BfDI. Dieses föderale Modell ist ein bewusstes Merkmal des deutschen Datenschutzrechts.
### 4.3 BSI-Meldung für kritische Infrastrukturen (KRITIS)
Betreiber kritischer Infrastrukturen (KRITIS) müssen darüber hinaus „erhebliche Störungen“ gemäß § 8b BSIG an das [Bundesamt für Sicherheit in der Informationstechnik (BSI)](https://www.bsi.bund.de/) melden. Die NIS2-Richtlinie, die 2025 in das BSI-Gesetz umgesetzt wurde, weitete die Meldepflicht auf weitere Sektoren aus, darunter digitale Dienstanbieter, verarbeitendes Gewerbe und Abfallwirtschaft. Meldungen folgen einem gestaffelten Zeitplan: **Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats**.
### 4.4 Benachrichtigung der Betroffenen (Artikel 34)
Wenn eine Verletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, schreibt [DSGVO Artikel 34](https://gdpr-info.eu/art-34-gdpr/) eine direkte Benachrichtigung der betroffenen Personen in klarer und einfacher Sprache vor. Die Fälle Knuddels, Scalable Capital und Motel One lösten alle Verpflichtungen nach Artikel 34 aus. Das Unterlassen der Benachrichtigung ist ein häufiger Auslöser für zusätzliche regulatorische Strafen neben dem eigentlichen Datenleck.
## 5. Trends bei deutschen Datenlecks
Vier Muster kehren in den zehn Fällen immer wieder: staatlich unterstützte Operationen gegen demokratische Institutionen, Kompromittierungen von Drittanbietern und Lieferketten, Ransomware mit Auswirkungen auf Menschenleben und DSGVO-Rechtsprechung, die echte finanzielle Risiken schafft. Das Verständnis dieser Muster ist hilfreicher als das Auswendiglernen einzelner Vorfälle.
### 5.1 Staatlich unterstützte Angriffe zielen auf demokratische Institutionen
Deutschland sticht in Europa durch die Häufigkeit staatlich unterstützter Operationen gegen seine politischen Institutionen hervor. Der Bundestag-Hack 2015, der später der GRU-Einheit 26165 zugeschrieben wurde, und die wiederholten Versuche gegen politische Parteien durch APT28 veranschaulichen, dass Deutschlands geopolitische Rolle das Land zu einem vorrangigen Ziel für Cyberspionage macht. Seit dem Einmarsch Russlands in die Ukraine im Jahr 2022 haben deutsche Behörden mehrere weitere Zuschreibungen an den russischen Militärgeheimdienst bestätigt.
### 5.2 Drittanbieter sind ein kritischer Schwachpunkt
Mastercard Priceless Specials, Scalable Capital, Motel One und das Datenleck bei Samsung / Spectos 2025 haben dieselbe Grundursache: eine Kompromittierung bei einem Drittanbieter, nicht bei der Hauptmarke. Selbst Unternehmen mit ausgereiften internen Sicherheitsprogrammen bleiben durch ihre Anbieternetzwerke angreifbar. Insbesondere der Fall Samsung Deutschland zeigt, wie Zugangsdaten, die Jahre zuvor von einem Subunternehmer gestohlen wurden, noch immer Produktionssysteme freischalten können.
### 5.3 Ransomware ist zu einer lebensbedrohlichen Gefahr geworden
Der Angriff auf das Universitätsklinikum Düsseldorf 2020 zeigte, dass Ransomware bei kritischen Infrastrukturen ein Problem für die Lebenssicherheit ist, nicht nur ein IT- oder finanzielles Problem. Krankenhäuser, Versorgungsunternehmen und Stadtverwaltungen in Deutschland wurden wiederholt ins Visier genommen. Diese Angriffe nutzen in der Regel ungepatchte, internetfähige Anwendungen aus – Schwachstellen, die öffentlich bekannt waren und für die bereits seit Monaten Patches verfügbar waren.
### 5.4 Durchsetzung der DSGVO formt die Verantwortlichkeit neu
Deutschland steht an vorderster Front bei der Durchsetzung der DSGVO. Das H&M-Bußgeld in Höhe von 35,3 Mio. EUR, das erste DSGVO-Bußgeld gegen Knuddels und das wegweisende Scalable-Capital-Urteil zu immateriellen Schäden prägen gemeinsam die Art und Weise, wie Organisationen in ganz Europa mit Datenschutz umgehen. Während Irland die EU beim aggregierten Wert der DSGVO-Bußgelder anführt (laut DLA Pipers Bericht 2026) und das Urteil des EuGH zur Österreichischen Post bestätigte, dass Ansprüche auf immateriellen Schadensersatz ein EU-weites Rechtsmittel sind, sticht Deutschland durch die Kombination aus hohen individuellen Bußgeldern, der Bereitschaft der Staatsanwaltschaft, gegen Führungskräfte zu ermitteln, und einer wachsenden Zahl erfolgreicher individueller Schadensersatzforderungen hervor.
## 6. Fazit
Die zehn größten Datenlecks in Deutschland erzählen eine einheitliche Geschichte: Zugangsdaten sind der gemeinsame Nenner. Der Mega-Leak 2014, das Bundestag-Spear-Phishing, die Klartext-Passwörter bei Knuddels, der Scalable-Capital-Insider, die Motel-One-Ransomware und der Samsung-Spectos-Vorfall 2025 lassen sich alle auf die Kompromittierung, Wiederverwendung oder fehlerhafte Handhabung von Zugangsdaten zurückführen. DSGVO-Bußgelder von bis zu 35,3 Mio. EUR, durchschnittliche Kosten eines Datenlecks in Höhe von 4,9 Mio. EUR, Schadensersatzzahlungen pro Kunde und strafrechtliche Ermittlungen machen Deutschland zum unerbittlichsten Durchsetzungsumfeld in der EU.
Die Gegenmaßnahmen sind ebenso konsequent: Phishing-resistente Authentifizierung wie Passkeys, strenge Zugriffskontrollen nach dem Joiner-Mover-Leaver-Prinzip, aggressive Rotation von Anbieter-Zugangsdaten, kontinuierliche Infostealer-Überwachung und Bereitschaft zur Meldung von Datenlecks innerhalb von 72 Stunden. Organisationen, die diese Maßnahmen 2026 als Priorität auf Vorstandsebene behandeln, werden sowohl die regulatorischen Strafen als auch den Rufschaden vermeiden, die das letzte Jahrzehnt deutscher Datenlecks geprägt haben.
## Häufig gestellte Fragen
### Was war das Datenleck bei Samsung Deutschland im Jahr 2025?
Im März 2025 wurden rund 270.000 Kundensupport-Datensätze von Samsung Deutschland in einem Hackerforum geleakt. Die Daten stammten von der Spectos GmbH, einem externen Servicepartner von Samsung. Die Datensätze umfassten vollständige Namen, E-Mail-Adressen, physische Adressen, Bestelldetails und Inhalte von Support-Tickets. Ermittler brachten den Vorfall mit Infostealer-Anmeldedaten in Verbindung, die 2021 abgegriffen und Jahre später wiederverwendet wurden, um auf das Spectos-System zuzugreifen.
### Wie meldet man ein Datenleck in Deutschland?
Gemäß Artikel 33 der DSGVO müssen deutsche Verantwortliche Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Landesdatenschutzbehörde melden. Wenn die Verletzung voraussichtlich zu einem hohen Risiko führt, schreibt Artikel 34 vor, die betroffenen Personen unverzüglich zu benachrichtigen. Betreiber kritischer Infrastrukturen müssen zusätzlich das BSI gemäß dem BSI-Gesetz benachrichtigen.
### Was ist das höchste DSGVO-Bußgeld, das jemals in Deutschland verhängt wurde?
Die Hamburger Datenschutzbehörde verhängte im Oktober 2020 ein Bußgeld in Höhe von 35,3 Mio. EUR gegen H&M wegen der systematischen Überwachung von mehreren Hundert Mitarbeitern in seinem Nürnberger Servicecenter. Es ist bis heute das höchste DSGVO-Bußgeld, das jemals von einer deutschen Behörde verhängt wurde, und eines der größten Bußgelder im Zusammenhang mit dem Datenschutz am Arbeitsplatz in Europa.
### Wie viel kostet ein Datenleck in Deutschland?
Laut dem IBM Cost of a Data Breach Report 2024 beliefen sich die durchschnittlichen Kosten eines Datenlecks in Deutschland auf 4,9 Mio. EUR (rund 5,31 Mio. US-Dollar). Damit gehört Deutschland weltweit zu den fünf teuersten Ländern bei Datenleck-Vorfällen und liegt über dem weltweiten Durchschnitt von 4,88 Mio. US-Dollar.
### Welche deutsche Behörde setzt die DSGVO durch?
Deutschland setzt die DSGVO durch 16 Landesdatenschutzbehörden sowie den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) für Bundesbehörden und Telekommunikationsunternehmen durch. Die zuständige Behörde richtet sich nach der Hauptniederlassung des Verantwortlichen in Deutschland.