Im Jahr 2025 erreichte eine Beschwerde die zuständige Aufsichtsbehörde, die zunächst wie ein klassischer Datenschutzvorfall erschien: Eine betroffene Person hatte nach einer Essensbestellung über einen digitalen Lieferdienst eine E-Mail erhalten, in der vor einem angeblichen Datenleck gewarnt wurde. Die Nachricht behauptete, fehlerhafte Software habe zur Offenlegung personenbezogener Daten geführt und enthielt sogar einen Ausschnitt mit entsprechenden Informationen.
Zusätzlich berichtete die betroffene Person über vermehrte unerwünschte Werbeanrufe und vermutete einen Zusammenhang mit dem angeblichen Sicherheitsvorfall. Da im Rahmen der Bestellung sensible Daten wie Mobilnummer, E-Mail-Adresse und Anschrift angegeben worden waren, erschien diese Annahme zunächst plausibel.
Analyse: Kein Datenleck, sondern gezielter Phishing-Angriff
Die anschließende Prüfung ergab jedoch ein anderes Bild: Bei der E-Mail handelte es sich nicht um eine legitime Mitteilung des Lieferdienstes, sondern um eine gezielte Phishing-Nachricht. Ziel solcher Angriffe ist es, über täuschend echte Kommunikation Vertrauen zu erschleichen und Betroffene zur Preisgabe weiterer Daten zu bewegen.
Ein zentrales Indiz war die technische Gestaltung der Nachricht. Zwar wirkte die Absenderadresse auf den ersten Blick glaubwürdig, sie konnte jedoch durch sogenanntes „E-Mail-Spoofing“ leicht gefälscht worden sein. Besonders auffällig war zudem, dass die E-Mail keinen klassischen Link zu einer Website enthielt, sondern auf einen WhatsApp-Kontakt verwies.
Die betroffene Person nahm über diesen Kontakt Verbindung auf – in der Annahme, mit dem Anbieter zu kommunizieren. Dort wurde ihr mitgeteilt, der Datenschutzbeauftragte sei bereits informiert worden. Tatsächlich handelte es sich sehr wahrscheinlich um einen weiteren Bestandteil der Täuschung: ein gefälschter Chatkontakt, der gezielt Seriosität vermitteln sollte.
Im weiteren Verlauf wurde die betroffene Person offenbar dazu verleitet, zusätzliche personenbezogene Daten preiszugeben – ein typisches Muster bei Phishing-Angriffen.
Datenschutzrechtliche kein meldepflichtiger Vorfall
Aus rechtlicher Sicht lag kein Datenschutzverstoß im Sinne der DSGVO vor. Insbesondere waren die Voraussetzungen eines meldepflichtigen Vorfalls nach Art. 33 DSGVO nicht erfüllt. Es konnten keine Hinweise darauf gefunden werden, dass Systeme des Lieferdienstes kompromittiert oder Daten durch das Unternehmen selbst unrechtmäßig offengelegt worden waren.
Auch die Definition einer „Verletzung des Schutzes personenbezogener Daten“ nach Art. 4 Nr. 12 DSGVO war nicht erfüllt. Die Verwendung der personenbezogenen Daten erfolgte durch einen unbefugten Dritten und konnte nicht dem Verantwortlichen zugerechnet werden.
Damit war klar: Es handelte sich nicht um ein Datenleck beim Unternehmen, sondern um einen externen Täuschungsversuch.
Empfehlungen an die betroffene Person
Die betroffene Person wurde über den Phishing-Charakter der Nachricht aufgeklärt und erhielt konkrete Handlungsempfehlungen, um mögliche Schäden zu begrenzen:
- Keine Links oder Anhänge aus der betreffenden E-Mail öffnen
- Die Nachricht löschen
- Passwörter ändern – insbesondere bei Mehrfachverwendung
- Endgeräte auf Schadsoftware überprüfen
Zudem wurde darauf hingewiesen, dass unerwünschte Werbeanrufe auch andere Ursachen haben können, etwa frühere Einwilligungen oder Datenweitergaben durch Drittanbieter.
Unternehmen sollten Prävention und Kommunikation stärken
Auch wenn im vorliegenden Fall kein Datenschutzverstoß durch das Unternehmen vorlag, zeigt sich, wie wichtig präventive Maßnahmen und transparente Kommunikation sind. Unternehmen sollten ihre Kundinnen und Kunden regelmäßig über typische Betrugsmaschen wie Phishing informieren und konkrete Hinweise geben, wie offizielle Kommunikation aussieht (z. B. keine Kontaktaufnahme über Messenger-Dienste, bestimmte Absenderdomains). Darüber hinaus empfiehlt es sich, interne Monitoring- und Incident-Response-Prozesse so auszurichten, dass Hinweise auf mögliche Missbrauchsfälle frühzeitig erkannt und bewertet werden können. Eine gut erreichbare Anlaufstelle für Sicherheitsmeldungen sowie schnelle, klare Stellungnahmen bei kursierenden Verdachtsfällen können dazu beitragen, Unsicherheiten zu reduzieren und Vertrauen zu stärken. Nicht zuletzt schützt proaktive Aufklärung auch das Unternehmen selbst vor Reputationsschäden und unberechtigten Vorwürfen im Zusammenhang mit vermeintlichen Datenschutzverletzungen.
Fazit: Aufklärung als zentrale Schutzmaßnahme
Der Fall zeigt exemplarisch, wie leicht vermeintliche Sicherheitsvorfälle missverstanden oder gezielt instrumentalisiert werden können. Phishing-Angriffe nutzen gezielt die Verunsicherung rund um Datenschutz und Datensicherheit aus, um Vertrauen zu erschleichen. Obwohl kein Datenschutzverstoß vorlag, unterstreicht der Fall die Bedeutung von Aufklärung und Medienkompetenz. Nur wer typische Muster solcher Angriffe erkennt, kann sich wirksam schützen.
Gleichzeitig kann es für Unternehmen sinnvoll sein, ihre Kundinnen und Kunden aktiv über bekannte Betrugsmaschen zu informieren. Dies stärkt nicht nur das Vertrauen, sondern schützt auch vor ungerechtfertigten Vorwürfen im Zusammenhang mit vermeintlichen Datenschutzverletzungen.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
