ClickRent-Datenleck: 2,5 Millionen Kunden des Autovermieters betroffen
Ausweise, Selfies und Finanzdaten offenbar im Darknet

08. April 2026, 17:44 Uhr · Quelle: LifePR

Foto: LifePR

Internet

Ein Datenleck bei ClickRent hat 2,5 Millionen Kunden betroffen, mit Leak sensibler Identitäts- und Finanzdaten, was Missbrauchsrisiken erhöht.

Lahr, 08.04.2026 (lifePR) - Beim spanischen Autovermieter ClickRent ist es offenbar zu einem massiven Datenschutzvorfall gekommen, der für Millionen Kunden erhebliche Folgen haben kann. Nach Berichten spanischer Medien vom 31. März 2026 und 1. April 2026 sollen rund 2,5 Millionen Datensätze betroffen sein; abgeflossen sein sollen unter anderem Ausweisdokumente, Führerscheine, Selfies aus Identifizierungsverfahren, Kontakt- und Buchungsdaten sowie Finanzinformationen. Dr. Stoll & Sauer bewertet den Vorfall als besonders schwerwiegend, weil hier nicht nur einfache Kontaktdaten, sondern vollständige Identitätsdaten mit erheblichem Missbrauchspotenzial abhandengekommen sein sollen. Betroffene sollten ihre Ansprüche jetzt prüfen lassen. Die Verbraucherkanzlei bietet eine kostenlose Ersteinschätzung im DSGVO-Online-Check an.

Was über das Datenleck bei ClickRent bekannt ist

Hinter der Marke ClickRent steht nach den vorliegenden Informationen die CLICK&RENT, S.L. beziehungsweise die XTRA AUTO SLU mit Sitz in Spanien. Der unbefugte Zugriff auf die Daten soll am 16. März 2026 erfolgt sein. Die Information der betroffenen Kunden erfolgte offenbar erst am 2. April 2026 per E-Mail.

Besonders brisant ist, dass es sich nach den vorliegenden Informationen nicht nur um einen gewöhnlichen Datenabfluss handeln soll. Vielmehr sollen die Angreifer mehr als 100 GB an Identitätsdokumenten erlangt haben. Nach den Berichten spanischer Medien sollen die Daten zudem inzwischen im Darknet zum Verkauf angeboten werden. Nach Einschätzung von Dr. Stoll & Sauer verschärft dies die Gefahr für die Betroffenen erheblich, weil sich solche Datensätze für Identitätsdiebstahl, Phishing, betrügerische Vertragsabschlüsse oder Kreditmissbrauch missbrauchen lassen.

Nach den der Kanzlei vorliegenden Informationen sollen unter anderem folgende Daten betroffen sein:

Basis- und Kontaktdaten wie Namen, Anschriften, Geburtsdaten, E-Mail-Adressen und Telefonnummern
Passwörter
Personalausweise, Ausländeridentitätsnummern, Reisepässe und Führerscheine
PDF-Dokumente und Selfies für Identitätsprüfungen im KYC-Prozess
Kartennummern, teilweise oder vollständig
Buchungshistorien mit Fahrzeugmodell, Standort und Zeitdaten
Transaktionstokens
Mitarbeiterinformationen, interne Agenturdateien und Finanzdaten des Unternehmens

Warum der Fall für Verbraucher besonders gefährlich ist

Der vorliegende Fall ist aus Sicht des Verbraucherschutzes außergewöhnlich brisant, weil offenbar vollständige KYC-Prozesse betroffen sind. KYC steht für „Know Your Customer“ und beschreibt Verfahren, mit denen Unternehmen die Identität ihrer Kunden überprüfen. Werden solche Datensätze abgegriffen, geht es nicht mehr nur um E-Mail-Adressen oder Telefonnummern, sondern um nahezu vollständige Identitätspakete.

Für Verbraucher bedeutet das:

Mit Ausweiskopien, Selfies und Führerscheindaten lassen sich besonders glaubwürdige Betrugsversuche vorbereiten
Mit Buchungs- und Kontaktdaten können Täter passgenaue Phishing-Nachrichten erstellen
Mit Zahlungsdaten steigt das Risiko von Kartenmissbrauch und betrügerischen Abbuchungen
Mit Passwörtern oder Passwortfragmenten drohen Kontoübernahmen, vor allem bei mehrfach genutzten Zugangsdaten
Mit kompletten Identitätsdokumenten kann langfristig ein erheblicher Kontrollverlust über die eigene digitale Identität entstehen

DSGVO, EuGH und BGH stärken Verbraucher-Rechte

Aus rechtlicher Sicht ist der Fall erheblich. Unternehmen sind nach der Datenschutz-Grundverordnung (DSGVO) verpflichtet, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen. Kommt es zu einem Datenschutzvorfall, treffen sie zudem umfassende Informations- und Meldepflichten. Sind besonders sensible Daten betroffen, steigen die Anforderungen an Transparenz und Schutzmaßnahmen erheblich.

Für Betroffene ist vor allem Art. 82 DSGVO wichtig. Danach kann jeder, dem wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Schadensersatz verlangen. Gerade bei einem Datenleck mit Ausweisen, Selfies, Führerscheinen und Zahlungsinformationen liegt es nahe, dass Betroffene die Kontrolle über ihre personenbezogenen Daten verlieren. Genau dieser Kontrollverlust ist juristisch von zentraler Bedeutung.

Der Europäische Gerichtshof hat die Rechte von Verbrauchern in mehreren Entscheidungen deutlich gestärkt. Nach der Rechtsprechung des EuGH gibt es bei Schadensersatz nach Art. 82 DSGVO keine Bagatellgrenze. Unternehmen können sich also nicht einfach damit verteidigen, ein Datenschutzverstoß sei zwar unangenehm, aber nicht gravierend genug. Maßgeblich ist vielmehr, ob ein konkreter Schaden eingetreten ist – und dazu kann bereits die begründete Angst vor Missbrauch oder der Verlust der Kontrolle über persönliche Daten gehören.

Wichtige Aussagen aus der EuGH-Rechtsprechung sind:

Ein Verstoß gegen die DSGVO allein reicht für Schadensersatz zwar nicht automatisch aus
Es braucht zusätzlich einen konkreten materiellen oder immateriellen Schaden
Dieser Schaden muss aber keine „Erheblichkeitsschwelle“ überschreiten
Auch psychische Belastungen, Sorgen, Ängste und der Kontrollverlust über personenbezogene Daten können ersatzfähig sein
Gerade bei sensiblen personenbezogenen Daten ist das Missbrauchsrisiko bei der Schadensbewertung besonders relevant

Auch der Bundesgerichtshof hat die Position der Betroffenen gestärkt. Besonders bedeutsam ist die Leitentscheidung des BGH zum Facebook-Scraping vom 18. November 2024. Der BGH hat darin klargestellt, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann. Das ist für Fälle wie das ClickRent-Datenleck von erheblicher Bedeutung. Denn wenn Ausweisdokumente, Selfies und Zahlungsdaten in falsche Hände geraten, ist der Kontrollverlust besonders tiefgreifend und für die Betroffenen kaum noch rückgängig zu machen.

Für die Praxis bedeutet die BGH-Rechtsprechung:

Betroffene müssen nicht erst einen vollendeten Identitätsdiebstahl nachweisen
Bereits der Kontrollverlust über personenbezogene Daten kann rechtlich relevant sein
Die konkrete Gefahr des Missbrauchs kann den immateriellen Schaden zusätzlich untermauern
Unternehmen können Ansprüche nicht pauschal mit dem Hinweis zurückweisen, es liege nur eine „bloße Unannehmlichkeit“ vor
Gerade bei Datenlecks mit Ausweisen, Zahlungsdaten und Identitätsnachweisen steigen die Chancen auf erfolgreiche Ansprüche

Dr. Stoll & Sauer sieht deshalb gute Gründe, mögliche Ansprüche sorgfältig prüfen zu lassen. Wer von ClickRent oder XTRA AUTO über den Vorfall informiert wurde oder dort in der Vergangenheit ein Fahrzeug gemietet und persönliche Dokumente hochgeladen hat, sollte den Sachverhalt dokumentieren und seine Rechte prüfen lassen. Eine kostenlose Ersteinschätzung bietet die Kanzlei im DSGVO-Online-Check an.

Was Betroffene jetzt tun sollten

Betroffene sollten den Vorfall nicht auf die leichte Schulter nehmen. Gerade bei der Kombination aus Identitätsdokumenten, Selfies, Kontakt- und Zahlungsdaten drohen langfristige Risiken.

Aus Sicht von Dr. Stoll & Sauer ist jetzt sinnvoll:

die E-Mail des Unternehmens und alle weiteren Informationen zum Vorfall zu sichern
zu dokumentieren, welche Daten bei ClickRent hinterlegt worden sind
Passwörter zu ändern, wenn dieselben Zugangsdaten auch an anderer Stelle genutzt wurden
Bank- und Kartenumsätze besonders aufmerksam zu kontrollieren
verdächtige E-Mails, SMS oder Anrufe mit Bezug auf Autovermietungen, Zahlungen oder Identitätsprüfungen kritisch zu prüfen
mögliche Schadensersatzansprüche rechtlich bewerten zu lassen
Betroffene eines Datenlecks können eine kostenlose Ersteinschätzung im DSGVO-Online-Check anfordern.

Erfolge von Dr. Stoll & Sauer in Datenschutzfällen

Dr. Stoll & Sauer hat in vergleichbaren Datenschutzkomplexen bereits Erfolge erzielt und führt Verfahren bundesweit:

Landgericht München: Nach Angaben der Kanzlei wurden 3.000 Euro Schadensersatz für einen Betroffenen des Facebook-Datenlecks erstritten (Az. 47 O 461/24).
• Sammelklage Facebook-Datenleck: Der vzbv führt eine Verbandsklage gegen Meta; Betroffene können Ansprüche gebündelt verfolgen. Anwälte von Dr. Stoll & Sauer sind über eine Spezialgesellschaft an der Durchsetzung der Ansprüche in diesem Komplex beteiligt.
• Eine kostenlose Ersteinschätzung zu Datenschutzverstößen und Datenlecks bietet die Kanzlei im DSGVO-Online-Check an.

Verbraucher & Recht / Datenschutz / Datenleck / ClickRent / DSGVO / Autovermietung / Identitätsdiebstahl
[lifepr.de] · 08.04.2026 · 17:44 Uhr
[0 Kommentare]