Kunden wochenlang nicht informiert

Massives Datenleck bei ClickRent: Millionen Ausweise und Selfies im Darknet zum Verkauf

Autos
LinkedInRedditWhatsApp

Nach einem Datenleck mit Diebstahl von 100 GB Identitätsdokumenten bei ClickRent stärken EuGH und BGH die Rechte der Opfer. Bereits der Kontrollverlust über Ausweise und Selfies begründet Ansprüche auf Entschädigung durch den betroffenen Autovermieter.

Ein Albtraum für Automieter wird Realität: Rund 2,5 Millionen Datensätze des spanischen Anbieters ClickRent wurden gestohlen. Unter den 100 Gigabyte an Daten befinden sich hochsensible Dokumente aus Identifizierungsverfahren wie Ausweiskopien und Selfies, die nun laut Medienberichten im Darknet zum Verkauf angeboten werden.

Anzeige

Schwere Identitätsdaten betroffen

Der spanische Autovermieter ClickRent, hinter dem die Unternehmen CLICK&RENT, S. L. beziehungsweise XTRA AUTO SLU stehen, ist Schauplatz eines massiven Datenschutzvorfalls geworden. Nach einem Bericht der Rechtsanwaltsgesellschaft Dr. Stoll und Sauer sollen rund 2,5 Millionen Datensätze betroffen sein. Der unbefugte Zugriff auf die Systeme erfolgte offenbar bereits am 16. März 2026, während die Information der Kunden erst mit erheblicher Verzögerung am 2. April 2026 per E-Mail stattfand.

Besonders brisant ist der Umfang der entwendeten Informationen. Es handelt sich nicht um einfache Kontaktdaten, sondern um hochgradig sensible Pakete aus sogenannten KYC-Prozessen („Know Your Customer“). Die Angreifer haben mehr als 100 GB an Daten erlangt. Die Liste der betroffenen Informationen ist lang und gefährlich:

  • Basisdaten und Kontaktinformationen: Namen, vollständige Anschriften, Geburtsdaten, E-Mail-Adressen und Telefonnummern.
  • Identitätsdokumente: Kopien von Personalausweisen, Reisepässen, Ausländeridentitätsnummern sowie Führerscheinen.
  • Biometrische Daten: PDF-Dokumente und Selfies, die für Identitätsprüfungen im KYC-Verfahren erstellt wurden.
  • Finanzinformationen: Kartennummern, die teilweise oder vollständig abgeflossen sind, sowie Transaktionstokens.
  • Buchungsdetails: Historien mit Fahrzeugmodellen, Standorten und genauen Zeitdaten.
  • Interne Daten: Passwörter, Mitarbeiterinformationen und interne Agenturdateien.

Gefahr durch Kontrollverlust

Dr. Stoll & Sauer bewertet den Vorfall als besonders schwerwiegend, da hier nicht nur einfache Kontaktdaten, sondern vollständige Identitätsdaten mit erheblichem Missbrauchspotenzial abhandengekommen sein sollen. Da die Datensätze inzwischen im Darknet zum Verkauf stehen, verschärft sich die Gefahr für die Betroffenen erheblich. Solche Pakete lassen sich für Identitätsdiebstahl, Phishing, betrügerische Vertragsabschlüsse oder Kreditmissbrauch verwenden.

Anzeige

Für Verbraucher bedeutet dieser Vorfall einen tiefgreifenden Kontrollverlust über die eigene digitale Identität. Mit der Kombination aus Ausweiskopien und Selfies können Täter besonders glaubwürdige Betrugsversuche vorbereiten oder Konten bei anderen Dienstleistern übernehmen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Rechte der Verbraucher

Unternehmen sind nach der Datenschutz-Grundverordnung (DSGVO) verpflichtet, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen. Betroffene können sich auf Art. 82 DSGVO berufen, der Schadensersatz für materielle und immaterielle Schäden vorsieht.

Der Europäische Gerichtshof (EuGH) und der Bundesgerichtshof (BGH) haben die Position der Verbraucher in jüngster Zeit massiv gestärkt. Besonders bedeutsam ist die Leitentscheidung des BGH zum Facebook-Scraping vom 18. November 2024. Der BGH hat darin klargestellt, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, sagen die Experten von Dr. Stoll & Sauer. Wichtige juristische Eckpunkte sind:

  • Es gibt laut EuGH keine Bagatellgrenze bei Schadensersatzansprüchen nach Art. 82 DSGVO.
  • Bereits die begründete Angst vor Missbrauch oder der bloße Verlust der Kontrolle über persönliche Daten können einen ersatzfähigen Schaden darstellen.
  • Der BGH hat in seiner Leitentscheidung vom 18. November 2024 klargestellt, dass der Kontrollverlust ein ernsthafter immaterieller Schaden ist.
  • Unternehmen können Ansprüche nicht pauschal als „bloße Unannehmlichkeit“ abtun, wenn sensible Dokumente wie Ausweise und Selfies betroffen sind.

Maßnahmen für Betroffene

Betroffene sollten den Vorfall nicht auf die leichte Schulter nehmen. Gerade bei der Kombination aus Identitätsdokumenten, Selfies, Kontakt- und Zahlungsdaten drohen langfristige Risiken, sagen die Experten von Dr. Stoll & Sauer und empfehlen folgende Schritte:

  • Sichern Sie die Benachrichtigungs-E-Mail des Unternehmens und dokumentieren Sie genau, welche Daten Sie bei ClickRent hinterlegt haben.
  • Ändern Sie umgehend Passwörter, falls Sie dieselben Zugangsdaten auch für andere Dienste verwenden.
  • Kontrollieren Sie Ihre Bank- und Kreditkartenumsätze in den nächsten Monaten besonders aufmerksam auf kleinste unbefugte Abbuchungen.
  • Prüfen Sie verdächtige E-Mails oder SMS kritisch, da diese nun perfekt auf Ihre Person zugeschnitten sein könnten.
  • Lassen Sie mögliche Schadensersatzansprüche rechtlich bewerten.


Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
10. April 2026
Netzwerkauffälligkeiten legen Schulnetz in Stralsund lahm
Autos
10. April 2026
Massives Datenleck bei ClickRent: Millionen Ausweise und Selfies im Darknet zum Verkauf
Claude
10. April 2026
Claude Mythos: BSI erwartet weitreichende Folgen
Cloud
10. April 2026
Wasabi Technologies kauft Seagates Lyve-Cloud-Sparte

Weitere Artikel

Netzwerkauffälligkeiten legen Schulnetz in Stralsund lahm
Claude Mythos: BSI erwartet weitreichende Folgen
Wasabi Technologies kauft Seagates Lyve-Cloud-Sparte
99 Prozent fordern digitale Souveränität: Deutschlands riskante IT-Abhängigkeit
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.