Beim Lidl-Datenleck sind Kundendaten abgeflossen, allerdings nicht aus der Shop-Datenbank des Discounters. Angreifer haben einen externen IT-Dienstleister getroffen und sind so an Namen, Telefonnummern und Geburtsdaten gelangt.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Seit dem 10. Juli 2026 verschickt Lidl Warn-E-Mails an betroffene Kunden, und das Lidl-Datenleck begann nicht im Kernsystem. Kompromittiert wurde ein Dienstleister, der eine Datei mit Kundendaten verarbeitet hat. Genau dieser Auftragsverarbeiter ist die Stelle, die viele Unternehmen bei ihrer Sicherheit uebersehen.

Das Wichtigste in Kürze

  • Abgeflossen sind Anrede, Name, Telefonnummer, E-Mail, Geburtsdatum und Kundennummer.
  • Passwörter, Zahlungsdaten und Postadressen sind laut Lidl nicht betroffen.
  • Der Angriff traf einen externen IT-Dienstleister, nicht die zentrale Shop-Datenbank.
  • Für betroffene Kunden steigt vor allem das Risiko gezielter Phishing-Angriffe.

Was ist beim Lidl-Datenleck passiert?

Schwere Tresortür neben offener Tür mit „Dienstleister“-Schild und Schlüsseln vor weißer Wand
Hacker kopierten bei Lidls IT-Dienstleister eine Datei mit Kundenkontakt- und Geburtsdaten. Passwörter und Zahlungsinformationen blieben unbeeinträchtigt

Unbefugte haben bei einem IT-Dienstleister von Lidl eine Datei mit Kundendaten kopiert. Betroffen sind Kontakt- und Geburtsdaten, nicht aber Passwörter oder Zahlungsinformationen. Lidl hat die Kunden und die zuständige Datenschutzbehörde informiert.

Die zentrale Shop-Datenbank ist nach Lidls Angaben unangetastet geblieben. Kompromittiert wurde stattdessen ein Partner, der im Auftrag des Discounters Kundendaten verarbeitet hat.

Pikant ist der Konzernhintergrund: Lidl gehört zur Schwarz Gruppe, die mit Schwarz Digits einen eigenen Cloud-Anbieter und mit XM Cyber eine Sicherheitsfirma betreibt. Das Leck ist trotzdem an der Peripherie entstanden.

Warum ist der Dienstleister das eigentliche Risiko?

Jeder Auftragsverarbeiter hält eine Kopie sensibler Daten und vergrößert damit die Angriffsfläche. Nicht das geschützte Kernsystem ist das Ziel, sondern der schwächste Partner in der Kette. Genau dort schlagen Angreifer zu, wenn die Datenminimierung beim Dienstleister versagt.

Ein Discounter verschickt E-Mails und wickelt Bestellungen ab, oft mit spezialisierten Dienstleistern. Jeder dieser Partner erhält einen Ausschnitt der Kundendaten. Fällt einer, fällt der Ausschnitt mit ihm.

Der Fall folgt einem Muster, das Sicherheitsforscher seit Jahren beobachten: Angriffe über die Peripherie statt über das Zentrum, wie zuletzt auch die dokumentierten Prompt-Injection-Angriffe.

Die erbeuteten Felder wirken harmlos, weil Passwörter fehlen. Für überzeugendes Phishing genügen sie aber: Mit Name, Kundennummer und Geburtsdatum lassen sich täuschend echte Betrugsmails bauen.

Lidl-Datenleck: Die Fakten zur Datenkette

Wo die Kundendaten abgeflossen sind und was die DSGVO jetzt verlangt.

6
Datenfelder abgeflossen
Anrede, Name, Telefon, E-Mail, Geburtsdatum und Kundennummer.
0
Passwörter & Zahlungsdaten
Laut Lidl nicht betroffen, ebenso wenig die Postadresse.
72 Std.
DSGVO-Meldefrist
So schnell muss eine Datenpanne der Aufsichtsbehörde gemeldet werden (Art. 33).
1
schwaches Kettenglied
Der Angriff traf einen externen Dienstleister, nicht die Shop-Datenbank.

Ein Datenleck bei einem Dienstleister ist kein fremdes Problem, sondern das eigene. Verantwortlich bleibt das Unternehmen, dessen Namen die Kunden auf der Warn-E-Mail lesen.

— Markus Seyfferth, Chefredakteur Dr. Web

Was müssen Entscheider aus DSGVO-Sicht jetzt tun?

Die Haftung bleibt beim verantwortlichen Unternehmen, auch wenn der Dienstleister das Leck verursacht. Nötig sind saubere Verträge, echte Datenminimierung und eine getestete Meldekette. Die DSGVO gibt dafür nur 72 Stunden Zeit.

Nach der DSGVO bleibt der Verantwortliche für seine Auftragsverarbeiter haftbar (Artikel 28)[1]. Eine Datenpanne ist binnen 72 Stunden der Aufsichtsbehörde zu melden (Artikel 33), betroffene Personen sind bei hohem Risiko zu informieren (Artikel 34).

Konkret heißt das: Prüfen Sie, welcher Dienstleister welche Kundendaten hält, und streichen Sie jedes Feld, das ein Partner nicht zwingend braucht. Ein Bug-Bounty-Programm deckt solche Schwachstellen oft früher auf als der jährliche Pentest.

Betroffene Kunden sollten wachsam gegenüber unerwarteten Mails bleiben und keine Links aus vermeintlichen Lidl-Nachrichten öffnen. Für Unternehmen ist der Fall eine Erinnerung, die eigene Datenkette so ernst zu nehmen wie das eigene Rechenzentrum, denn wie schnell schon reine Verfügbarkeitsprobleme treffen, zeigte zuletzt die Störungsserie bei IONOS.

Quelle

[1] Europäische Union: Datenschutz-Grundverordnung (Verordnung (EU) 2016/679), Artikel 28, 33 und 34

Mehr Newshunger?

4,4 10 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?