Julia Wolf 
Irgendwo in einem Untergrund-Forum läuft gerade eine Transaktion. Preis: 0,10 Euro. Inhalt: Name, Adresse, E-Mail-Adresse, Geburtsdatum eines EU-Bürgers. Die DSGVO existiert. Der Handel trotzdem auch.
Die Dark-Web-Ökonomie kennt keine Geschäftszeiten. Auf spezialisierten Underground-Marktplätzen werden personenbezogene Daten von EU-Bürgern als Massenware gehandelt – strukturiert, bewertet, in Paketen zusammengeschnürt. Das Pikante daran: Viele dieser Datensätze stammen aus Vorfällen, die längst DSGVO-pflichtig gemeldet hätten werden müssen. Wurden sie aber nicht immer.
Sicherheitsfirmen wie Digital Shadows und Kaspersky dokumentieren diesen Markt seit Jahren. Laut einem bekannten Kaspersky-Report kosten vollständige sogenannte „Fullz“-Datensätze europäischer Bürger – also Name, Geburtsdatum, Anschrift, Ausweisdaten – typischerweise zwischen vier und vierzig US-Dollar pro Eintrag, je nach Aktualität und Vollständigkeit. Einfache E-Mail-Passwort-Kombinationen hingegen sind oft billiger oder werden kostenlos als Köder verteilt, um Reputation in einschlägigen Foren aufzubauen.
Digital Shadows berichtete bereits 2019 von über 15 Milliarden geleakten Zugangsdaten aus rund 100.000 Datenpannen weltweit. Das Angebot übersteigt die Nachfrage bei weitem – was die Preise drückt, den Markt aber nicht kleiner macht. Im Gegenteil: Masse macht das Geschäftsmodell robust.
Pakete mit mehreren Hunderttausend Einträgen aus einzelnen Datenbankleaks sind gang und gäbe. Kriminelle Anbieter übertreiben dabei regelmäßig die Vollständigkeit und Frische der Daten – das ist deren Marketing. Käufer prüfen Stichproben, handeln Preise aus, bewerten Anbieter. Wie auf Amazon. Nur ohne Rückgaberecht.
Der BfDI, die Landesbehörden wie der LfDI Baden-Württemberg und ihre europäischen Pendants haben in den letzten Jahren deutlich an Schlagkraft gewonnen – zumindest auf dem Papier. Seit Inkrafttreten der DSGVO im Mai 2018 wurden laut dem CMS GDPR Enforcement Tracker bis Ende 2023 über 2.100 Bußgelder in der EU verhängt, Gesamtvolumen: mehr als vier Milliarden Euro.
Deutschland allein hat bis Ende 2024 DSGVO-Bußgelder von insgesamt 89,1 Millionen Euro verhängt, zitiert nach DLA-Piper-Daten. Das klingt imposant. Gemessen an der schieren Zahl an Datenpannen, die täglich irgendwo in der EU passieren, ist es das weniger.
Der Bußgeldrahmen nach Art. 83 DSGVO ist klar: Bei schwerwiegenden Verstößen – etwa gegen die Grundprinzipien der Verarbeitung nach Art. 5 oder die Sicherheitspflichten nach Art. 32 – drohen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist. Für ein Unternehmen wie Meta bedeutet das: theoretisch Milliarden. Für einen mittelständischen Onlinehändler mit mangelhafter Datenbankabsicherung: existenzgefährdend.
Das Problem liegt im Enforcement-Gap. Großverfahren gegen Big Tech ziehen sich oft Jahre hin. Grenzüberschreitende Fälle erfordern Koordination über das European Data Protection Board, was den Prozess verlangsamt. Und: Behörden fokussieren sich auf Rechtsverstöße, nicht auf Cybercrime-Marktanalysen. Ob gestohlene Daten anschließend im Dark Web landen, taucht in Bußgeldbescheiden selten explizit auf.
Zwei Fälle gelten als Lehrstücke für das Zusammenspiel aus Datenpanne, DSGVO-Sanktion und Dark-Web-Handel. British Airways: 2018 wurden durch einen Supply-Chain-Angriff Zahlungsdaten von rund 429.000 Kunden abgegriffen – Namen, Adressen, Kreditkartennummern. Die britische Datenschutzbehörde ICO verhängte zunächst 183 Millionen Pfund, reduzierte das Bußgeld später auf 20 Millionen Pfund wegen unzureichender Sicherheitsmaßnahmen. Analysiert man zeitgleiche Bewegungen in Carder-Foren, tauchen BA-Datensätze kurz nach dem Leak auf.
Marriott International liefert die schwerere Nummer. Durch einen Einbruch in das Starwood-Reservierungssystem – der sich über Jahre unentdeckt hinzog – wurden laut ICO rund 339 Millionen Gastprofile kompromittiert. Mindestens 30 Millionen Betroffene in der EU, davon sieben Millionen allein im Vereinigten Königreich. Passinformationen, Kreditkartendaten, Geburtsdaten. Bußgeld der ICO: 18,4 Millionen Pfund. Sicherheitsforscher dokumentierten in den Folgejahren massenhaft Marriott-Datensätze in Untergrundforen.
Plot Twist: Beide Unternehmen hatten die Sicherheitslücken nicht selbst verursacht, sondern durch externe Systeme oder Dienstleister geerbt. Das entlastet sie rechtlich trotzdem nicht. Art. 32 DSGVO verlangt dem „Stand der Technik“ entsprechende Schutzmaßnahmen – und die Auswahl sowie Überwachung von Auftragsverarbeitern fällt ebenfalls in die Verantwortung des Verantwortlichen.
Diese Fälle illustrieren die typische Kette: Angriff auf Sicherheitslücke, Exfiltration von Datensätzen, Verkauf im Dark Web, DSGVO-Verfahren gegen das betroffene Unternehmen. Der kriminelle Akteur taucht in dieser Kette meist nicht auf – er ist längst weitergezogen.
Eine Datenschutzverletzung ist keine abstrakte Bedrohung. Sie ist ein operativer Albtraum mit konkretem Zeitplan. Art. 33 DSGVO schreibt vor: innerhalb von 72 Stunden nach Bekanntwerden einer Datenpanne muss die zuständige Aufsichtsbehörde informiert werden, sofern ein Risiko für Rechte und Freiheiten betroffener Personen besteht. Wer das verpasst, riskiert ein separates Bußgeld – zusätzlich zum eigentlichen Verstoß.
Bei hohem Risiko kommt Art. 34 DSGVO ins Spiel: Dann müssen auch die betroffenen Personen informiert werden. Direkt. Ohne Umwege. Stellen Sie sich vor, Sie betreiben einen Onlineshop mit 600.000 Kundendaten, Ihre Datenbank wird kompromittiert, die Daten tauchen in einem Dark-Web-Forum auf – und Sie müssen innerhalb von drei Tagen sowohl die Behörde als auch potenziell alle Kunden kontaktieren. Während Sie gleichzeitig den Breach forensisch aufarbeiten.
Die Kosten setzen sich dabei aus mehreren Blöcken zusammen: Das DSGVO-Bußgeld ist oft der kleinste. Dazu kommen forensische IT-Analyse, Rechtsberatung, Kommunikationskosten, mögliche Schadensersatzforderungen nach Art. 82 DSGVO und der Reputationsschaden. Letzterer ist schwer zu beziffern, aber real – wie die Abwanderungsquoten nach bekannten Datenpannen zeigen.
Für kleinere Unternehmen ist das existenzkritisch. KMU ohne dediziertes Security-Team, ohne Incident-Response-Plan und ohne Dark-Web-Monitoring laufen oft erst Wochen nach einem Breach auf, dass etwas passiert ist – häufig, weil Kunden oder externe Sicherheitsforscher sie informieren. Die 72-Stunden-Frist ist da längst abgelaufen.
Viele Unternehmen gehen davon aus, dass eine Datenschutzverletzung primär das Ergebnis eines gezielten, hochprofessionellen Angriffs von außen ist. Die Realität ist deutlich banaler und deshalb beunruhigender. Ein erheblicher Teil aller gemeldeten Datenpannen beginnt mit unspektakulären organisatorischen Schwachstellen: veraltete Software ohne eingespielten Sicherheitspatch, Zugangsdaten in unverschlüsselten internen Dokumenten, Mitarbeitende ohne Sicherheitsschulung, die auf Phishing-Mails hereinfallen, oder Drittanbieter mit übermäßigen Datenbankzugriffsrechten.
Besonders kritisch ist die Situation bei Unternehmen, die Cloud-Dienste intensiv nutzen, aber die Konfiguration ihrer Speicherumgebungen nicht regelmäßig überprüfen. Fehlkonfigurierte S3-Buckets bei Amazon Web Services oder offen zugängliche Elasticsearch-Instanzen haben in der Vergangenheit wiederholt zu Leaks von Millionen Datensätzen geführt – ohne dass ein externer Angreifer aktiv einbrechen musste. Die Daten lagen schlicht ungeschützt im Netz.
Für die Praxis ergibt sich daraus eine klare Priorisierungsliste:
Diese Maßnahmen sind keine Garantie gegen jeden Angriff. Sie sind aber die Grundlage dafür, dass ein Unternehmen im Fall einer Datenschutzverletzung nachweisen kann, dem „Stand der Technik“ entsprechend gehandelt zu haben – was im Bußgeldverfahren entscheidend strafmindernd wirkt.
Meiner Einschätzung nach ist Dark-Web-Monitoring das am meisten unterschätzte Werkzeug in der Unternehmens-Compliance – und gleichzeitig das am häufigsten falsch verstandene. Es ersetzt keine Prävention, aber es verkürzt die Zeit zwischen Datenpanne und Entdeckung erheblich.
Dienste, die Underground-Foren, Paste-Sites und Marktplätze systematisch nach Unternehmens-Domains, E-Mail-Mustern oder Datenbank-Fingerprints durchsuchen, können Frühwarnungen liefern. Das ist kein Wundermittel. Viele Leaks werden in geschlossenen, einladungsbasierten Foren gehandelt, die automatisiertes Monitoring kaum erreicht. Und: Die sheer volume an geleakten Daten macht es schwer, eigene Einträge sicher zu identifizieren.
Spezialisten im Bereich Threat Intelligence wie die früheren Digital-Shadows-Teams – mittlerweile unter anderem in ReliaQuest aufgegangen – betonen, dass die Kombination aus technischem Monitoring, Phishing-Simulationen und internem Sicherheits-Audit deutlich effektiver ist als jeder Einzelansatz. Die DSGVO-Meldepflicht setzt voraus, dass das Unternehmen von der Verletzung „Kenntnis erlangt“. Dark-Web-Monitoring kann dieser Moment sein.
Für die Compliance-Abteilung ergibt sich daraus eine direkte operative Konsequenz: Dark-Web-Monitoring sollte im Incident-Response-Plan als Erkennungskanal dokumentiert sein. Wer das nicht tut, hat ein Governance-Problem – und möglicherweise bald ein Behördenproblem.
Das brisant wirkende Signal der letzten Monate kommt aus einer anderen Richtung. Datenschutzbehörden in Deutschland und Europa rücken zunehmend Datenbroker ins Visier – also Unternehmen, die legal oder halbwegs legal mit personenbezogenen Daten handeln. Die Grenzlinie zwischen legitimem Datenhandel und DSGVO-Verstoß ist dabei dünner als viele Marktteilnehmer annehmen.
Die DSGVO verbietet nicht jeden Handel mit personenbezogenen Daten. Sie verbietet den Handel ohne hinreichende Rechtsgrundlage nach Art. 6, ohne Transparenz gegenüber Betroffenen und ohne Zweckbindung. Datenbroker, die Adressen, Kaufverhalten oder demografische Profile verkaufen, müssen nachweisen, dass jede Übermittlung auf einer tauglichen Rechtsgrundlage basiert. In der Praxis: schwierig bis unmöglich, wenn die Ursprungsdaten aus unklaren Quellen stammen.
Wenig überraschend: Je mehr Behörden die Lieferketten hinter Datenpaketen aufdröseln, desto öfter stoßen sie auf Daten, die ursprünglich unrechtmäßig erlangt wurden – durch Hacks, Scraping ohne Einwilligung oder schlicht durch den Kauf von anderen dubiosen Brokern. Eine Datenschutzverletzung pflanzt sich also fort. Der Käufer eines gestohlenen Datensatzes auf einem Dark-Web-Marktplatz begeht nicht nur eine Straftat, sondern verarbeitet Daten ohne Rechtsgrundlage – und wird damit selbst zum DSGVO-Verantwortlichen, sobald er in der EU tätig ist.
Für Verbraucher: Dienste wie „Have I Been Pwned“ erlauben eine kostenlose Prüfung, ob die eigene E-Mail-Adresse in bekannten Leaks aufgetaucht ist. Das ist keine vollständige Abdeckung – viele Leaks werden nie öffentlich. Wer einen Hinweis erhält, sollte Passwörter auf betroffenen Plattformen sofort ändern, Zwei-Faktor-Authentifizierung aktivieren und bei Finanzkonten die Kontoauszüge engmaschig überwachen.
Wer materiellen oder immateriellen Schaden durch eine Datenpanne nachweisen kann, hat nach Art. 82 DSGVO grundsätzlich einen Schadensersatzanspruch gegen den Verantwortlichen. Die Durchsetzung ist bisher rechtlich komplex und stark einzelfallabhängig. Aber die Rechtsprechung entwickelt sich – nicht zum Vorteil nachlässiger Datenverarbeiter.
Für Unternehmen gilt: Ein Incident-Response-Plan ist kein nettes Beiwerk, sondern Pflicht. Er muss die 72-Stunden-Meldepflicht nach Art. 33 DSGVO operativ abbilden – inklusive klarer Verantwortlichkeiten, vorgefertigter Meldebogen und direktem Draht zur zuständigen Aufsichtsbehörde. Hinzu kommt: Aktuelle Sicherheitsanalysen zeigen, dass viele Unternehmen zwar technische Maßnahmen implementieren, aber die organisatorischen Prozesse vernachlässigen. Ein Firewall allein stoppt keine Datenpanne – und kein Bußgeld.
Das technische Fundament sollte regelmäßige Penetrationstests, Verschlüsselung sensibler Datensätze, Zugriffsbeschränkungen nach dem Least-Privilege-Prinzip und – für größere Organisationen – ein Security Operations Center mit 24/7-Monitoring umfassen. Wer NIS-2-pflichtig ist, hat ohnehin erweiterte Pflichten; die Schnittmenge mit DSGVO-Anforderungen ist dabei erheblich.
Um die abstrakten Anforderungen greifbarer zu machen, hilft ein vorsichtiges Praxisszenario. Angenommen, ein mittelständischer Onlinehändler mit rund 200.000 Kundendatensätzen bemerkt an einem Freitagabend, dass externe Sicherheitsforscher ihn per E-Mail auf einen möglichen Leak hinweisen. In einem bekannten Paste-Forum sind Stichproben von Kundendaten aufgetaucht, die erkennbar aus dem eigenen System stammen könnten.
Was jetzt folgt, entscheidet über das Ausmaß des Schadens – rechtlich wie finanziell. Der erste Schritt ist die sofortige Aktivierung des Incident-Response-Teams, auch wenn das in der Praxis bedeutet, externe IT-Forensiker am Wochenende zu kontaktieren. Parallel dazu beginnt die interne Dokumentation: Wann wurde der Hinweis erhalten? Wer wurde informiert? Welche ersten Schritte wurden unternommen? Diese Dokumentation ist die Basis für die spätere Behördenmeldung.
Der zweite Schritt ist die Risikobewertung: Welche Datenkategorien sind potenziell betroffen? Handelt es sich nur um E-Mail-Adressen, oder sind Zahlungsdaten, Adressen oder gar Gesundheitsinformationen im Spiel? Je sensibler die Daten, desto dringlicher die Meldepflicht nach Art. 33 und gegebenenfalls Art. 34 DSGVO. Diese Bewertung muss schnell, aber sorgfältig erfolgen – denn die 72-Stunden-Frist läuft ab dem Moment, in dem das Unternehmen von der möglichen Verletzung Kenntnis erlangt hat.
Der dritte Schritt, der von vielen Unternehmen unterschätzt wird: die proaktive Kommunikation mit der zuständigen Aufsichtsbehörde, auch wenn noch nicht alle Fakten feststehen. Behörden bewerten es erfahrungsgemäß positiv, wenn Unternehmen früh und transparent kommunizieren, anstatt zu warten, bis alle Informationen lückenlos vorliegen. Eine erste Meldung mit dem Hinweis auf laufende Untersuchungen ist besser als eine verspätete Vollmeldung.
Hier liegt das eigentliche Problem, und ich sage das ohne Häme: Die DSGVO ist ein brillantes Instrument zur Regulierung von Datenverarbeitern. Sie ist kein Instrument zur Strafverfolgung krimineller Marktplätze. Diese operieren global, dezentral, oft in Jurisdiktionen ohne funktionierende Rechtshilfe. Wenn ein Marktplatz abgeschaltet wird – wie es Strafverfolgungsbehörden regelmäßig tun –, migriert die Community innerhalb von Stunden zum nächsten.
Die DSGVO sanktioniert das Unternehmen, das Opfer eines Angriffs wurde – weil es unzureichend gesichert hatte. Das ist rechtlich korrekt und auch sinnvoll, weil es Sicherheitsinvestitionen incentiviert. Aber der Händler, der 500.000 EU-Datensätze für fünf Cent pro Stück vertickt, bleibt außerhalb der DSGVO-Reichweite. Der Clou: Dessen Kunde, der diese Daten in der EU verarbeitet, ist es möglicherweise nicht.
Das DSGVO-Enforcement gegen Datenbroker und Downstream-Verarbeiter unrechtmäßig erlangter Daten ist deshalb der logisch nächste Schritt. Ob Behörden mit den dafür nötigen Ressourcen ausgestattet sind, ist eine andere Frage. Und ob eine europäische Regulierung die Dark-Web-Ökonomie strukturell beeinflussen kann – oder lediglich die Compliance-Kosten für legale Unternehmen erhöht –, das ist die eigentlich unbequeme Frage, auf die niemand eine befriedigende Antwort hat.
Was bleibt: Ihre Kundendaten sind bereits jetzt möglicherweise irgendwo gelistet. Wann haben Sie zuletzt überprüft, ob Ihr Unternehmen das überhaupt bemerken würde?
