ClickRent-Datenleck: 2,5 Millionen Kunden des Autovermieters betroffen

Was über das Datenleck bei ClickRent bekannt ist

Hinter der Marke ClickRent steht nach den vorliegenden Informationen die CLICK&RENT, S.L. beziehungsweise die XTRA AUTO SLU mit Sitz in Spanien. Der unbefugte Zugriff auf die Daten soll am 16. März 2026 erfolgt sein. Die Information der betroffenen Kunden erfolgte offenbar erst am 2. April 2026 per E-Mail.

Besonders brisant ist, dass es sich nach den vorliegenden Informationen nicht nur um einen gewöhnlichen Datenabfluss handeln soll. Vielmehr sollen die Angreifer mehr als 100 GB an Identitätsdokumenten erlangt haben. Nach den Berichten spanischer Medien sollen die Daten zudem inzwischen im Darknet zum Verkauf angeboten werden. Nach Einschätzung von Dr. Stoll & Sauer verschärft dies die Gefahr für die Betroffenen erheblich, weil sich solche Datensätze für Identitätsdiebstahl, Phishing, betrügerische Vertragsabschlüsse oder Kreditmissbrauch missbrauchen lassen.

Nach den der Kanzlei vorliegenden Informationen sollen unter anderem folgende Daten betroffen sein:

• Basis- und Kontaktdaten wie Namen, Anschriften, Geburtsdaten, E-Mail-Adressen und Telefonnummern
• Passwörter
• Personalausweise, Ausländeridentitätsnummern, Reisepässe und Führerscheine
• PDF-Dokumente und Selfies für Identitätsprüfungen im KYC-Prozess
• Kartennummern, teilweise oder vollständig
• Buchungshistorien mit Fahrzeugmodell, Standort und Zeitdaten
• Transaktionstokens
• Mitarbeiterinformationen, interne Agenturdateien und Finanzdaten des Unternehmens

Warum der Fall für Verbraucher besonders gefährlich ist

Der vorliegende Fall ist aus Sicht des Verbraucherschutzes außergewöhnlich brisant, weil offenbar vollständige KYC-Prozesse betroffen sind. KYC steht für „Know Your Customer“ und beschreibt Verfahren, mit denen Unternehmen die Identität ihrer Kunden überprüfen. Werden solche Datensätze abgegriffen, geht es nicht mehr nur um E-Mail-Adressen oder Telefonnummern, sondern um nahezu vollständige Identitätspakete.

Für Verbraucher bedeutet das:

• Mit Ausweiskopien, Selfies und Führerscheindaten lassen sich besonders glaubwürdige Betrugsversuche vorbereiten
• Mit Buchungs- und Kontaktdaten können Täter passgenaue Phishing-Nachrichten erstellen
• Mit Zahlungsdaten steigt das Risiko von Kartenmissbrauch und betrügerischen Abbuchungen
• Mit Passwörtern oder Passwortfragmenten drohen Kontoübernahmen, vor allem bei mehrfach genutzten Zugangsdaten
• Mit kompletten Identitätsdokumenten kann langfristig ein erheblicher Kontrollverlust über die eigene digitale Identität entstehen

DSGVO, EuGH und BGH stärken Verbraucher-Rechte

Aus rechtlicher Sicht ist der Fall erheblich. Unternehmen sind nach der Datenschutz-Grundverordnung (DSGVO) verpflichtet, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen. Kommt es zu einem Datenschutzvorfall, treffen sie zudem umfassende Informations- und Meldepflichten. Sind besonders sensible Daten betroffen, steigen die Anforderungen an Transparenz und Schutzmaßnahmen erheblich.

Für Betroffene ist vor allem Art. 82 DSGVO wichtig. Danach kann jeder, dem wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Schadensersatz verlangen. Gerade bei einem Datenleck mit Ausweisen, Selfies, Führerscheinen und Zahlungsinformationen liegt es nahe, dass Betroffene die Kontrolle über ihre personenbezogenen Daten verlieren. Genau dieser Kontrollverlust ist juristisch von zentraler Bedeutung.

Der Europäische Gerichtshof hat die Rechte von Verbrauchern in mehreren Entscheidungen deutlich gestärkt. Nach der Rechtsprechung des EuGH gibt es bei Schadensersatz nach Art. 82 DSGVO keine Bagatellgrenze. Unternehmen können sich also nicht einfach damit verteidigen, ein Datenschutzverstoß sei zwar unangenehm, aber nicht gravierend genug. Maßgeblich ist vielmehr, ob ein konkreter Schaden eingetreten ist – und dazu kann bereits die begründete Angst vor Missbrauch oder der Verlust der Kontrolle über persönliche Daten gehören.

Wichtige Aussagen aus der EuGH-Rechtsprechung sind:

• Ein Verstoß gegen die DSGVO allein reicht für Schadensersatz zwar nicht automatisch aus
• Es braucht zusätzlich einen konkreten materiellen oder immateriellen Schaden
• Dieser Schaden muss aber keine „Erheblichkeitsschwelle“ überschreiten
• Auch psychische Belastungen, Sorgen, Ängste und der Kontrollverlust über personenbezogene Daten können ersatzfähig sein
• Gerade bei sensiblen personenbezogenen Daten ist das Missbrauchsrisiko bei der Schadensbewertung besonders relevant

Auch der Bundesgerichtshof hat die Position der Betroffenen gestärkt. Besonders bedeutsam ist die Leitentscheidung des BGH zum Facebook-Scraping vom 18. November 2024. Der BGH hat darin klargestellt, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann. Das ist für Fälle wie das ClickRent-Datenleck von erheblicher Bedeutung. Denn wenn Ausweisdokumente, Selfies und Zahlungsdaten in falsche Hände geraten, ist der Kontrollverlust besonders tiefgreifend und für die Betroffenen kaum noch rückgängig zu machen.

Für die Praxis bedeutet die BGH-Rechtsprechung:

• Betroffene müssen nicht erst einen vollendeten Identitätsdiebstahl nachweisen
• Bereits der Kontrollverlust über personenbezogene Daten kann rechtlich relevant sein
• Die konkrete Gefahr des Missbrauchs kann den immateriellen Schaden zusätzlich untermauern
• Unternehmen können Ansprüche nicht pauschal mit dem Hinweis zurückweisen, es liege nur eine „bloße Unannehmlichkeit“ vor
• Gerade bei Datenlecks mit Ausweisen, Zahlungsdaten und Identitätsnachweisen steigen die Chancen auf erfolgreiche Ansprüche

Dr. Stoll & Sauer sieht deshalb gute Gründe, mögliche Ansprüche sorgfältig prüfen zu lassen. Wer von ClickRent oder XTRA AUTO über den Vorfall informiert wurde oder dort in der Vergangenheit ein Fahrzeug gemietet und persönliche Dokumente hochgeladen hat, sollte den Sachverhalt dokumentieren und seine Rechte prüfen lassen. Eine kostenlose Ersteinschätzung bietet die Kanzlei im DSGVO-Online-Check an.

Was Betroffene jetzt tun sollten

Betroffene sollten den Vorfall nicht auf die leichte Schulter nehmen. Gerade bei der Kombination aus Identitätsdokumenten, Selfies, Kontakt- und Zahlungsdaten drohen langfristige Risiken.

Aus Sicht von Dr. Stoll & Sauer ist jetzt sinnvoll:

• die E-Mail des Unternehmens und alle weiteren Informationen zum Vorfall zu sichern
• zu dokumentieren, welche Daten bei ClickRent hinterlegt worden sind
• Passwörter zu ändern, wenn dieselben Zugangsdaten auch an anderer Stelle genutzt wurden
• Bank- und Kartenumsätze besonders aufmerksam zu kontrollieren
• verdächtige E-Mails, SMS oder Anrufe mit Bezug auf Autovermietungen, Zahlungen oder Identitätsprüfungen kritisch zu prüfen
• mögliche Schadensersatzansprüche rechtlich bewerten zu lassen
• Betroffene eines Datenlecks können eine kostenlose Ersteinschätzung im DSGVO-Online-Check anfordern.

Erfolge von Dr. Stoll & Sauer in Datenschutzfällen

Dr. Stoll & Sauer hat in vergleichbaren Datenschutzkomplexen bereits Erfolge erzielt und führt Verfahren bundesweit:

• Landgericht München: Nach Angaben der Kanzlei wurden 3.000 Euro Schadensersatz für einen Betroffenen des Facebook-Datenlecks erstritten (Az. 47 O 461/24).
  • Sammelklage Facebook-Datenleck: Der vzbv führt eine Verbandsklage gegen Meta; Betroffene können Ansprüche gebündelt verfolgen. Anwälte von Dr. Stoll & Sauer sind über eine Spezialgesellschaft an der Durchsetzung der Ansprüche in diesem Komplex beteiligt.
  • Eine kostenlose Ersteinschätzung zu Datenschutzverstößen und Datenlecks bietet die Kanzlei im DSGVO-Online-Check an.