Offenbar nutzen Cyberkriminelle die beim Datenleck bei ClickRent erbeuteten Daten bereits für konkrete Betrugsversuche. Ein Mandant von Dr. Stoll & Sauer berichtet, dass Täter bereits versucht haben, über seine Kreditkarte Geld abzubuchen, die Karte gesperrt werden musste und er seitdem ständig von Scamanrufen belästigt werde. Nach Berichten spanischer Medien vom 31. März 2026 und 1. April 2026 sollen bei ClickRent beziehungsweise der XTRA AUTO SLU mit Sitz in Spanien rund 2,5 Millionen Kunden von einem massiven Datenleck betroffen sein. Dr. Stoll & Sauer bewertet den Fall als alarmierendes Beispiel dafür, wie gefährlich Datenlecks mit Ausweisen, Führerscheinen, Zahlungsdaten und Identitätsdokumenten für Verbraucher werden können. Der BGH und der EuGH haben die Rechte Betroffener bei Datenschutzverstößen gestärkt. Betroffene sollten ihre Ansprüche daher im kostenlosen DSGVO-Online-Check der Kanzlei Dr. Stoll & Sauer prüfen lassen.

Mandantenbericht zeigt: Folgen des Datenlecks sind längst Realität

Der Kanzlei liegt inzwischen ein erster konkreter Hinweis aus der Praxis vor. Ein Mandant schildert, dass er von dem Datenleck betroffen sei und von ClickRent zusätzlich per SMS informiert worden sei. Nach seinen Angaben habe es bereits Versuche gegeben, über seine Kreditkarte Geld abzubuchen. Das Kreditkartenunternehmen habe die Karte deshalb gesperrt. Zudem berichtet der Mandant, dass bei ClickRent zahlreiche sensible Unterlagen wie E-Mails, Rufnummern, Ausweis- und Führerscheinkopien vorgelegen hätten und er nun fortlaufend mit betrügerischen Anrufen konfrontiert werde.

Aus Sicht von Dr. Stoll & Sauer zeigt dieser Fall sehr deutlich, dass Datenlecks nicht bloß abstrakte IT-Vorfälle sind. Wenn Täter Zugriff auf vollständige Identitäts- und Zahlungsdaten erhalten, kann sich das für Verbraucher sehr schnell in konkrete finanzielle Risiken, psychische Belastungen und einen dauerhaften Kontrollverlust über die eigenen Daten verwandeln.

Das ist über das ClickRent-Datenleck bekannt

Nach einem Bericht des spanischen Portals Escudo Digital vom 31. März 2026 und einer Meldung von APD vom 1. April 2026 soll der unbefugte Zugriff auf die Daten am 16. März 2026 erfolgt sein. Betroffene Kunden sollen erst am 2. April 2026 per E-Mail informiert worden sein. Nach den Berichten sollen die Angreifer mehr als 100 GB an Identitätsdokumenten erlangt haben; im Raum steht zudem, dass die Daten inzwischen im Darknet zum Verkauf angeboten werden. Besonders kritisch ist aus Sicht der Kanzlei, dass das Unternehmen die Betroffenen nach den vorliegenden Informationen offenbar nicht darüber informiert haben soll, dass die Daten auch im Zusammenhang mit einer Erpressung und einem Darknet-Angebot stehen.

Nach den bislang bekannten Informationen sollen unter anderem folgende Daten betroffen sein:

• Basis- und Kontaktdaten wie Namen, Anschriften, Geburtsdaten, E-Mail-Adressen und Telefonnummern
• Passwörter
• Personalausweise, Reisepässe, Ausländeridentitätsnummern und Führerscheine
• PDF-Dokumente und Selfies aus KYC-Identifizierungsverfahren
• Kartennummern, teilweise oder vollständig
• Buchungshistorien mit Fahrzeugmodell, Standort und Zeitdaten
• Transaktionstokens
• Mitarbeiterinformationen, interne Agenturdateien und Finanzdaten des Unternehmens

Gerade die Kombination dieser Daten ist hochgefährlich. Wer über Ausweisdokumente, Selfies, Führerscheindaten, Kontaktdaten, Buchungshistorien und Zahlungsinformationen verfügt, kann besonders glaubwürdige Betrugsversuche vorbereiten. Dazu zählen Phishing-Angriffe, Kontoübernahmen, missbräuchliche Vertragsabschlüsse, Kreditkartenmissbrauch oder Identitätsdiebstahl. Der aktuelle Mandantenbericht deutet darauf hin, dass solche Risiken im Fall ClickRent bereits praktische Relevanz haben könnten.

Rechtliche Einordnung von Dr. Stoll & Sauer

Unternehmen sind nach der Datenschutz-Grundverordnung verpflichtet, personenbezogene Daten mit geeigneten technischen und organisatorischen Maßnahmen zu schützen. Kommt es zu einem Datenschutzvorfall, bestehen darüber hinaus Informationspflichten gegenüber den Betroffenen. Bei einem Datenleck mit Ausweisen, Selfies, Führerscheinen und Zahlungsdaten wiegt der Eingriff besonders schwer, weil der Missbrauch dieser Daten für Verbraucher weitreichende Folgen haben kann. Grundlage für mögliche Ansprüche ist insbesondere Art. 82 DSGVO. Danach hat jede Person Anspruch auf Schadensersatz, wenn ihr wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist.

Der Europäische Gerichtshof hat die Rechte der Verbraucher in mehreren Entscheidungen gestärkt. In der Rechtssache C-300/21 vom 4. Mai 2023 hat der EuGH klargestellt, dass es für einen Schadensersatzanspruch nach Art. 82 DSGVO keine Bagatellgrenze gibt. Ein DSGVO-Verstoß allein genügt zwar nicht automatisch, es braucht zusätzlich einen konkreten Schaden. Dieser Schaden muss aber keine besondere Erheblichkeit erreichen. In der Rechtssache C-340/21 vom 14. Dezember 2023 hat der EuGH zudem entschieden, dass auch die begründete Befürchtung eines Missbrauchs personenbezogener Daten einen immateriellen Schaden darstellen kann. Gerade bei einem Vorfall wie dem ClickRent-Datenleck, bei dem Identitätsdokumente und Zahlungsdaten betroffen sein sollen, ist diese Rechtsprechung für Betroffene von erheblicher Bedeutung.

Auch der Bundesgerichtshof hat die Position der Verbraucher deutlich gestärkt. In seinem Urteil vom 18. November 2024 zum Facebook-Scraping-Fall (Az. VI ZR 10/24) hat der BGH entschieden, dass bereits der bloße und kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann. Betroffene müssen danach nicht erst nachweisen, dass ihre Daten tatsächlich schon konkret missbräuchlich verwendet wurden. Schon der Kontrollverlust selbst kann einen Anspruch begründen. Für Fälle wie das ClickRent-Datenleck ist das besonders wichtig, weil der Missbrauch von Ausweisdokumenten, Führerscheinen, Selfies und Zahlungsdaten für Verbraucher oft kaum vollständig nachweisbar und noch weniger rückgängig zu machen ist.

Für die rechtliche Bewertung aus Sicht von Dr. Stoll & Sauer spricht deshalb einiges:

• Ein Datenleck mit vollständigen Identitätsunterlagen ist besonders eingriffsintensiv
• Der Kontrollverlust über personenbezogene Daten kann bereits einen immateriellen Schaden darstellen
• Die begründete Angst vor Missbrauch kann nach EuGH-Rechtsprechung ersatzfähig sein
• Konkrete Abbuchungsversuche, Kartensperrungen oder Scamanrufe können die Belastung zusätzlich untermauern
• Betroffene sollten Ansprüche nicht vorschnell als aussichtslos ansehen, sondern rechtlich prüfen lassen

So können Verbraucher das Risiko nach einem Datenleck senken

Datenlecks lassen sich von Verbrauchern oft nicht verhindern. Wer betroffen ist, kann aber Schritte unternehmen, um den Schaden zu begrenzen und weitere Risiken zu reduzieren.

Dr. Stoll & Sauer rät Betroffenen insbesondere dazu:

• Benachrichtigungsschreiben, SMS und E-Mails des Unternehmens zu sichern
• zu dokumentieren, welche Daten bei dem Unternehmen hinterlegt waren
• Passwörter unverzüglich zu ändern, vor allem wenn dieselben Zugangsdaten auch anderswo genutzt wurden
• Kreditkarten- und Kontobewegungen engmaschig zu kontrollieren
• Karten bei verdächtigen Vorgängen sofort sperren zu lassen
• verdächtige Anrufe, SMS oder E-Mails mit Bezug auf Zahlungen, Identitätsprüfungen oder Mietvorgänge besonders kritisch zu prüfen
• auf keinen Fall am Telefon sensible Daten preiszugeben
• Strafanzeige und gegebenenfalls eine Meldung an die Datenschutzaufsicht zu prüfen
• mögliche Schadensersatzansprüche frühzeitig rechtlich bewerten zu lassen

Gerade der aktuelle Mandantenbericht zeigt nach Auffassung der Kanzlei, dass schnelles Handeln entscheidend sein kann. Wenn Täter bereits Abbuchungsversuche unternehmen oder Scamanrufe einsetzen, ist das Risiko nicht mehr theoretisch, sondern konkret. Eine kostenlose Ersteinschätzung bietet die Kanzlei im DSGVO-Online-Check an.

Erfolge von Dr. Stoll & Sauer in Datenschutzfällen

Dr. Stoll & Sauer hat in vergleichbaren Datenschutzkomplexen bereits Erfolge erzielt und führt Verfahren bundesweit:

• Landgericht München: Nach Angaben der Kanzlei wurden 3.000 Euro Schadensersatz für einen Betroffenen des Facebook-Datenlecks erstritten (Az. 47 O 461/24).
  • Sammelklage Facebook-Datenleck: Der vzbv führt eine Verbandsklage gegen Meta; Betroffene können Ansprüche gebündelt verfolgen. Anwälte von Dr. Stoll & Sauer sind über eine Spezialgesellschaft an der Durchsetzung der Ansprüche in diesem Komplex beteiligt.
  • Eine kostenlose Ersteinschätzung zu Datenschutzverstößen und Datenlecks bietet die Kanzlei im DSGVO-Online-Check an.