Beim Lidl-Onlineshop wurden Kundendaten gestohlen — nicht bei Lidl selbst, sondern bei einem IT-Dienstleister. Warum das ein Muster hat und wie Sie Ihre eigenen Dienstleister prüfen.

Beim Lidl-Onlineshop wurden Kundendaten gestohlen — nicht bei Lidl selbst, sondern bei einem beauftragten IT-Dienstleister. Betroffen sind Anrede, Name, Telefonnummer, E-Mail, Geburtsdatum und Kundennummer; Passwörter und Zahlungsdaten blieben unberührt. Der Fall ist kein Einzelfall, sondern Muster: Ihre Daten sind nur so sicher wie Ihr schwächster Dienstleister.
Unbekannte Angreifer haben bei einem IT-Dienstleister von Lidl eine Datei mit Kundendaten des Onlineshops erbeutet. Abgeflossen sind Anrede, Vor- und Nachname, Telefonnummer, E-Mail-Adresse, Geburtsdatum und Kundennummer. Nicht betroffen waren nach Angaben des Unternehmens Postanschriften, Passwörter, Zahlungsinformationen und die Kundenkonten selbst.
Entscheidend ist das Wort „bei einem Dienstleister“: Die Daten lagen nicht in Lidls eigenen Systemen, sondern bei einem beauftragten Partner — dessen Namen Lidl nicht nennt. Der Dienstleister hat Strafanzeige gestellt, die zuständige Datenschutzbehörde wurde informiert, und es gebe „keine Hinweise auf einen Missbrauch“. Lidl habe die IT-Systeme wieder vollständig abgesichert und rät Betroffenen, wachsam gegenüber Phishing und Identitätsmissbrauch zu bleiben.
Genau hier liegt der Haken: Auch ohne Passwort reichen Name, Geburtsdatum und E-Mail für glaubwürdige Phishing-Mails, die den echten Kundenkontakt täuschend nachahmen. Ein Datenleck ohne Passwörter ist kein harmloses Datenleck. Erst recht nicht, wenn die betroffene Person gar nicht weiß, an welchen Dienstleister ihre Daten überhaupt weitergereicht wurden.
Es ist ein Muster, und es reicht bis vor die eigene Haustür. Zwei Fälle aus der Region zeigen, wie unterschiedlich derselbe Grundfehler aussehen kann.
Rheinische Post, Juni 2023. Am 16. Juni 2023 traf ein Cyberangriff nicht die Zeitung direkt, sondern ihren hauseigenen IT-Dienstleister circ IT. Von dort breitete sich der Angriff als Lieferketten-Attacke auf die Websites gleich fünf Zeitungen aus — Rheinische Post, General-Anzeiger, Aachener Nachrichten, Saarbrücker Zeitung und Trierischer Volksfreund. Die Online-Portale waren fast eine Woche offline, die gedruckte Ausgabe erschien tagelang nur als Notausgabe. Zunächst hieß es, es seien keine Daten gestohlen worden; Wochen später ließ sich ein Abfluss von Kundendaten nicht mehr sicher ausschließen.
Stadtverwaltung Heinsberg, Januar 2026. Am Morgen des 15. Januar 2026 legte ein Angriff die Verwaltung weitgehend lahm: rund 50 Server, etwa 320 Arbeitsplätze im Rathaus, mehrere hundert Geräte in Schulen und über 70 Fachanwendungen waren betroffen. Die Verwaltung war mehrere Tage weder telefonisch noch per E-Mail erreichbar; Polizei, externe IT-Forensiker und das LKA ermittelten. Heinsberg wurde direkt getroffen, nicht über einen Dienstleister — und zeigt damit die andere Seite derselben Medaille: Nicht nur ob Daten abfließen zählt, sondern auch, ob Sie am nächsten Morgen noch arbeitsfähig sind.
Weil dort die Daten zusammenlaufen. Wer eine Aufgabe auslagert — Shop-Betrieb, Newsletter, Buchhaltung, Rechenzentrum — gibt die Arbeit ab, aber nicht das Risiko. Ein einziger Dienstleister verwaltet die Daten vieler Kunden gleichzeitig. Genau das macht ihn für Angreifer attraktiv: Ein erfolgreicher Einbruch bei einem Anbieter öffnet die Tür zu Dutzenden Unternehmen auf einmal — bei circ IT waren es fünf Zeitungen mit einem Schlag.
Fachlich heißt diese Konstruktion Auftragsverarbeitung: Ein Dienstleister verarbeitet personenbezogene Daten in Ihrem Auftrag und nach Ihrer Weisung. Das ist völlig legitim und Alltag — problematisch wird es erst, wenn man annimmt, mit der Aufgabe sei auch die Verantwortung ausgelagert. Das ist sie nicht. Wie schnell ein kompromittierter Zulieferer ganze Abnehmerketten trifft, haben wir am Beispiel manipulierter Software in Angriff über die Hintertür: die Software-Lieferkette ausführlich beschrieben.
Hinzu kommt ein wirtschaftliches Kalkül: Für einen Angreifer ist der Aufwand pro erbeutetem Datensatz beim Dienstleister am geringsten. Statt hundert Mittelständler einzeln anzugreifen, genügt ein Einbruch bei dem einen Anbieter, der sie alle betreut. Sicherheitsforscher sprechen von einem „One-to-many“-Effekt — und genau deshalb verlagern professionelle Gruppen ihre Angriffe zunehmend auf IT-Dienstleister, Managed-Service-Provider und Software-Zulieferer.
Im Zweifel Sie. Nach DSGVO bleiben Sie als Verantwortlicher gegenüber Ihren Kunden und der Aufsichtsbehörde in der Pflicht, auch wenn der Fehler beim Auftragsverarbeiter passiert ist. Drei Punkte sind dabei nicht verhandelbar:
Kurz: Die Daten liegen beim Dienstleister, die Haftung bleibt bei Ihnen.
Das ist kein theoretisches Risiko: Verstöße gegen die DSGVO können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist. Hinzu kommen die Informationspflicht gegenüber den Betroffenen und ein Vertrauensschaden, der sich kaum beziffern lässt.
Mit denselben Fragen, die auch ein Prüfer stellen würde — bevor etwas passiert, nicht danach. Sieben Punkte, die jeder seriöse Anbieter beantworten kann:
Können Sie diese Fragen für Ihre wichtigsten Dienstleister nicht aus dem Stand beantworten, ist das kein Grund zur Panik — aber ein guter Anlass, sie zu stellen. Ob ein Wechsel sinnvoll ist, ordnet unser Beitrag Wann Sie Ihren IT-Dienstleister wechseln sollten ein.
Zwei Lehren, die zusammengehören. Der Lidl-Fall mahnt zur Prävention: wissen, wer Ihre Daten hält, und diese Partner konsequent prüfen. Heinsberg mahnt zur Wiederanlauffähigkeit: Wenn Systeme tagelang stillstehen, entscheidet ein getesteter IT-Notfallplan darüber, ob Sie in Stunden oder in Wochen wieder arbeiten. Heinsberg brauchte Wochen für den vollständigen Wiederaufbau — mit einem geprüften Notfallkonzept, klaren Zuständigkeiten und offline gehaltenen Backups lässt sich diese Zeit drastisch verkürzen. Beides ist keine Frage von „ob“, sondern von „wann“.
implec betreut den rheinischen Mittelstand seit 2002 — als Dienstleister, der genau die Fragen aus diesem Artikel selbst beantworten kann. Wenn Sie wissen möchten, wie sicher Ihre IT und Ihre Dienstleisterkette wirklich aufgestellt sind, finden wir das in einem unverbindlichen Sicherheits-Check gemeinsam heraus.
FAQ
Kurz und konkret beantwortet.
Lidl informiert Betroffene direkt. Gestohlen wurden Anrede, Name, Telefonnummer, E-Mail, Geburtsdatum und Kundennummer — keine Passwörter oder Zahlungsdaten. Trotzdem sollten Sie besonders wachsam gegenüber Phishing-Mails sein, die diese Daten glaubwürdig nutzen könnten.
Ein Dienstleister, der personenbezogene Daten in Ihrem Auftrag und nach Ihrer Weisung verarbeitet, etwa ein Shop-, Cloud- oder Newsletter-Anbieter. Die Zusammenarbeit erfordert einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.
In der Regel bleiben Sie als Verantwortlicher gegenüber Kunden und Aufsichtsbehörde in der Pflicht. Ein AVV regelt die Zuständigkeiten, entbindet Sie aber nicht von Ihrer Sorgfaltspflicht bei Auswahl und Kontrolle des Dienstleisters.
An einem aktuellen AVV, Datenhaltung in der EU, nachweisbaren Standards wie ISO 27001, einem klaren Zugriffs- und Meldeprozess sowie getesteten Backups. Ein seriöser Anbieter beantwortet diese Fragen ohne Zögern.
Fragen zu Ihrem Projekt?
Ob IT-Sicherheit oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.
Kontakt aufnehmenKostenlose Erstberatung
Unverbindlich und ohne Fachchinesisch. Wählen Sie den Weg, der Ihnen am liebsten ist.
4,7 ★ GoogleAntwort in unter 4 Stundenpersönlich seit 2002
Rückruf anfordern
Innerhalb von 4 Stunden — kostenlos und unverbindlich.
Wir melden uns innerhalb von 4 Stunden bei Ihnen.
Bewirb dich in 2 Minuten
Ohne Anschreiben-Zwang. Wähl den Weg, der dir am liebsten ist.
26 Kolleg:innenseit 2002 im RheinlandRückmeldung zeitnah
Rückruf anfordern
Zeitnah — kostenlos und unverbindlich.
Wir melden uns zeitnah bei dir.