Was bislang zum V-Bank Datenleck bekannt ist
Nach den bisherigen Informationen wurde die V-Bank nicht direkt über ihr Kernbanksystem angegriffen. Der unbefugte Datenzugriff soll vielmehr im Zusammenhang mit einem Cyberangriff auf einen externen IT-Dienstleister erfolgt sein. Dieser Dienstleister erbrachte nach Angaben der Bank Cloud-Services und hatte Zugriff auf eine extern gehostete Datenbank der V-Bank, die vom Kernbanksystem getrennt gewesen sein soll.
Die V-Bank hat inzwischen bestätigt, dass personenbezogene Daten von Kundinnen und Kunden entwendet wurden. Betroffen sein sollen unter anderem Namen, Geburtsdaten, Anschriften, E-Mail-Adressen, Telefonnummern sowie kontobezogene Informationen. Dazu zählt die Bank insbesondere Angaben zum Vermögensstatus, Transaktionsdaten und Referenzkonten.
Gerade diese Datenkategorien machen den Vorfall besonders sensibel. Denn Transaktionsdaten können Rückschlüsse auf das finanzielle Verhalten, Vermögensverhältnisse und Geschäftsbeziehungen der Betroffenen zulassen. Nach den uns vorliegenden Informationen kann zudem nicht ausgeschlossen werden, dass auch weitergehende kontobezogene Unterlagen oder Datenzusammenstellungen betroffen sein könnten, etwa Transaktionslisten oder unter Umständen kontoauszugsähnliche Informationen.
Nicht betroffen sein sollen nach Darstellung der V-Bank Konten und Depots selbst, Benutzernamen, Passwörter, sonstige Kontozugangs- und Legitimationsdaten sowie Steuerdaten. Auch ein Abfluss von Geldern, Wertpapieren oder Kryptowerten soll nicht stattgefunden haben. Die Bank hat zudem mitgeteilt, dass ihre IT-Systeme stabil und uneingeschränkt funktionsfähig seien. Die forensischen Untersuchungen dauern jedoch weiterhin an.
Kostenlose Ersteinschätzung direkt online abrufen
Informieren Sie sich schnell und sicher. Geben Sie zur Erstellung Ihres persönlichen Zugangs Name, E-Mail-Adresse und Telefonnummer ein. Nach der Registrierung werden alle weiteren Schritte auf unserem abgesicherten Mandanten-Portal durchgeführt.
Warum Daten aus dem Bankenbereich besonders heikel sind
Daten aus dem Banken- und Finanzbereich gehören zu den besonders sensiblen personenbezogenen Informationen. Sie betreffen nicht nur die Identität einer Person, sondern können auch Rückschlüsse auf Vermögensverhältnisse, Zahlungsströme, wirtschaftliche Beziehungen und das persönliche Konsum- oder Anlageverhalten zulassen. Wenn neben Namen, Anschriften, E-Mail-Adressen und Telefonnummern auch kontobezogene Informationen wie Vermögensstatus, Transaktionsdaten oder Referenzkonten betroffen sind, entsteht für Kundinnen und Kunden ein erhebliches Risiko.
Besonders problematisch ist, dass solche Informationen von Kriminellen für sehr gezielte Betrugsversuche genutzt werden können. Wer über persönliche Daten und Bankinformationen verfügt, kann sich gegenüber Betroffenen glaubwürdiger als Bankmitarbeiter, Vermögensverwalter, Finanzdienstleister oder sonstiger Ansprechpartner ausgeben. Dadurch steigt die Gefahr von Phishing-Mails, betrügerischen Anrufen, gefälschten Zahlungsaufforderungen oder anderen Formen des sogenannten Social Engineering.
Für Betroffene kann bereits der Verlust der Kontrolle über solche Daten eine erhebliche Belastung darstellen. Denn anders als ein Passwort lassen sich Name, Geburtsdatum, Anschrift oder Informationen zu Vermögensverhältnissen nicht ohne Weiteres ändern. Gerade im Finanzbereich können gestohlene Daten deshalb noch lange nach dem eigentlichen Vorfall missbraucht werden.
Was Betroffene jetzt tun sollten
Betroffene Kunden der V-Bank sollten den Vorfall ernst nehmen und in den kommenden Wochen und Monaten besonders aufmerksam sein. Wichtig ist vor allem, verdächtige Kontakte nicht vorschnell zu beantworten und keine sensiblen Informationen preiszugeben.
- Mitteilungen der V-Bank sorgfältig prüfen: Betroffene sollten Schreiben, E-Mails oder sonstige Informationen der V-Bank zum Datenleck aufbewahren. Diese können später wichtig sein, um die eigene Betroffenheit und den Umfang des Datenabflusses nachzuweisen.
- Keine Passwörter, PINs oder TANs weitergeben: Die V-Bank weist selbst darauf hin, dass sie Kundinnen und Kunden niemals telefonisch, per E-Mail oder per SMS nach Passwörtern oder PINs fragen wird. Entsprechende Anfragen sollten ignoriert und nicht beantwortet werden.
- Bei verdächtigen Anrufen oder E-Mails misstrauisch bleiben: Kriminelle könnten die abgeflossenen Daten nutzen, um besonders glaubwürdige Phishing-Mails oder betrügerische Telefonate vorzubereiten. Auch wenn Anrufer persönliche Daten oder kontobezogene Informationen nennen können, sollten Betroffene keine Auskünfte erteilen.
- Kontobewegungen regelmäßig kontrollieren: Auch wenn nach Angaben der V-Bank keine Gelder abgeflossen sind und keine Kontozugangsdaten betroffen sein sollen, sollten Kundinnen und Kunden ihre Konten und Depots aufmerksam beobachten und ungewöhnliche Vorgänge sofort der Bank melden.
- Verdächtige Nachrichten dokumentieren: Phishing-Mails, SMS, Briefe oder Anrufprotokolle sollten nicht sofort gelöscht, sondern gesichert werden. Screenshots, E-Mail-Header und Gesprächsnotizen können später als Nachweis dienen.
- Auskunft über die konkret betroffenen Daten verlangen: Betroffene haben nach der DSGVO grundsätzlich das Recht zu erfahren, welche personenbezogenen Daten von ihnen verarbeitet wurden und welche Daten vom Sicherheitsvorfall betroffen sind.
- Ansprüche rechtlich prüfen lassen: Bei einem Datenleck können Betroffenen Ansprüche auf Auskunft, Unterlassung und Schadensersatz zustehen. Das gilt insbesondere dann, wenn sensible Bank- und Vermögensdaten betroffen sind oder Betroffene infolge des Vorfalls unter Kontrollverlust, Sorge vor Missbrauch oder konkreten Betrugsversuchen leiden.
Rechtliche Einordnung: DSGVO stärkt Rechte der Betroffenen
Nach der Datenschutz-Grundverordnung müssen Unternehmen und Banken personenbezogene Daten angemessen schützen. Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, können Melde- und Informationspflichten gegenüber Behörden und Betroffenen bestehen. Art. 82 DSGVO sieht zudem Schadensersatz vor, wenn Betroffenen durch einen Datenschutzverstoß ein materieller oder immaterieller Schaden entsteht.
Die Rechtsprechung hat die Rechte von Betroffenen gestärkt. Der Europäische Gerichtshof hat in mehreren Entscheidungen klargestellt, dass es beim DSGVO-Schadensersatz keine starre Bagatellgrenze gibt. Der Bundesgerichtshof hat mit Urteil vom 18. November 2024 (Az. VI ZR 10/24) im Facebook-Scraping-Komplex entschieden, dass bereits der Kontrollverlust über personenbezogene Daten einen immateriellen Schaden darstellen kann.
Für Datenlecks im Banken- und Finanzbereich ist die rechtliche Bewertung besonders ernst. Bankdaten können Rückschlüsse auf Vermögensverhältnisse, Zahlungsströme, Referenzkonten und wirtschaftliche Beziehungen zulassen. Wenn solche Informationen abgeflossen sind oder Dritte Zugriff darauf hatten, kann dies die Ansprüche der Betroffenen erheblich beeinflussen.
Dr. Stoll & Sauer rät Betroffenen daher, nicht vorschnell abzuwarten. Wer eine Mitteilung über das V-Bank Datenleck erhält oder konkrete Hinweise auf eine Betroffenheit hat, sollte seine Rechte prüfen lassen. Die Kanzlei bietet dafür eine kostenlose Ersteinschätzung im DSGVO-Online-Check an.
Ihre Kanzlei für IT-Recht
Dr. Stoll & Sauer: Erfahrung mit großen Datenschutzfällen
Die Kanzlei Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien in Deutschland. Sie vertritt Verbraucher bundesweit in komplexen Verfahren gegen Unternehmen, Konzerne und öffentliche Stellen. Ein Schwerpunkt liegt auf Datenschutz, Datenlecks, Cyberangriffen und Schadensersatz nach der DSGVO.
Die Kanzlei führt und prüft zahlreiche Verfahren im Zusammenhang mit Datenschutzverstößen, Tracking-Fällen und Cyberangriffen. Dr. Stoll & Sauer setzt dabei auf technische Analyse, rechtliche Einordnung und konsequente Durchsetzung von Verbraucherrechten. Das JUVE-Handbuch zählt Dr. Stoll & Sauer seit Jahren zu den bekannten Kanzleien im Verbraucherrecht. Für Betroffene von Datenlecks bietet die Kanzlei eine kostenlose Ersteinschätzung im DSGVO-Online-Check an