PayPal-Datenleck: Warum Passwort-Wiederverwendung das eigentliche Risiko ist

15,8 Millionen Paypal-Datensätze tauchen im Internet auf – PayPal selbst bestreitet ein neues Datenleck.

Ob der Datensatz echt oder alt ist, spielt für Unternehmen nur eine Nebenrolle. Das eigentliche Problem ist die weitverbreitete Gewohnheit, ein und dasselbe Passwort mehrfach zu verwenden. Genau hier entsteht das größte Risiko – auch für kleine und mittlere Unternehmen.

Was ist passiert?

Im August 2025 meldeten verschiedene Sicherheitsportale, dass ein Datensatz mit 15,8 Millionen PayPal-Konten im Darknet angeboten wird. Enthalten: E-Mail-Adressen und Passwörter. PayPal reagierte schnell und erklärte: Es gebe keinen neuen Sicherheitsvorfall. Wahrscheinlich handle es sich um gestohlene Daten aus älteren Leaks oder um sogenannte Stealer-Daten (Schadsoftware, die Zugangsdaten vom Computer der Opfer ausliest). Die Diskussion zeigt jedoch: Schon die Veröffentlichung solcher Meldungen reicht aus, um Kunden und Unternehmen in Alarmbereitschaft zu versetzen.

Juristische Einordung: Haftung nach der DSGVO

Juristisch betrachtet ist die Lage bei solchen Fällen oft kompliziert:
  • Wenn die Daten direkt bei PayPal abgeflossen wären, hätte PayPal als Verantwortlicher nach Artikel 82 DSGVO Schadensersatz leisten müssen.
  • Da es sich aber sehr wahrscheinlich um gestohlene Daten aus älteren Quellen handelt, liegt die Verantwortung oft bei den betroffenen Nutzern selbst – und indirekt auch bei Unternehmen, die nicht auf sichere Passwörter und Mehr-Faktor-Authentifizierung setzen.
Für Unternehmen heißt das: Wer sensible Systeme ohne ausreichende Zugangskontrollen betreibt, kann im Ernstfall selbst haftbar sein.

Warum betrifft das KMU direkt?

Viele kleine und mittlere Unternehmen setzen auf PayPal – sei es für Onlineshops oder als Zahlungsmethode im Geschäftsalltag. Hinzu kommt: Mitarbeiter verwenden oft dieselben Passwörter für private und geschäftliche Konten. Das Risiko:
  • Gelangen diese Daten ins Darknet, können Angreifer auch Firmensysteme übernehmen – etwa das E-Mail-Postfach, das ERP-System oder den Firmen-Shop.
  • Folgen sind nicht nur finanzielle Verluste, sondern auch Datenschutzverstöße mit Schadensersatzforderungen.

Handlungsmöglichkeiten für Unternehmen

  1. Passwort-Reset durchsetzen: Bei Vorfällen wie dem angeblichen PayPal-Leak sollten Unternehmen aktiv werden: Mitarbeiter auffordern, Passwörter zu ändern – nicht nur bei PayPal, sondern auch in allen Systemen, in denen dieselbe Kombination genutzt wird.
  2. Zwei-Faktor-Authentifizierung (MFA) verpflichtend einführen: Egal ob E-Mail, Finanzsystem oder Cloud-Portal: Ohne zusätzlichen Schutz (z. B. SMS-Code, App oder Sicherheitsschlüssel) sind Passwörter allein zu schwach.
  3. Passwort-Manager bereitstellen: Moderne Passwort-Manager helfen, starke und einzigartige Passwörter zu erstellen und sicher zu speichern. So wird Wiederverwendung verhindert.
  4. Monitoring nutzen: Überprüfen Sie regelmäßig, ob Firmen-E-Mail-Adressen in bekannten Leaks auftauchen (z. B. über Dienste wie „Have I Been Pwned“).
  5. Zahlungsfreigaben absichern: Große Zahlungen sollten nicht allein über ein Passwort abgesichert sein. Ein „Vier-Augen-Prinzip“ oder eine Freigabe über einen zweiten Kanal ist sinnvoll.
  6. Mitarbeiter schulen: Viele Datenpannen entstehen durch menschliche Bequemlichkeit. Eine klare Sensibilisierung für Passwortsicherheit ist Pflicht.

FAQ: Häufig gestellte Fragen zum PayPal-Leak

War das wirklich ein neues Datenleck bei PayPal? PayPal bestreitet das. Wahrscheinlich handelt es sich um alte Daten oder Stealer-Daten aus Schadsoftware. Muss PayPal Schadensersatz zahlen? Nur, wenn ein Verstoß bei PayPal selbst vorliegt. Wenn Daten aber durch Nutzerfehler oder andere Quellen abgeflossen sind, liegt die Verantwortung nicht bei PayPal. Was sollten Unternehmen jetzt tun? Unabhängig vom Ursprung der Daten: Passwortsicherheit prüfen, MFA aktivieren und Mitarbeiter sensibilisieren.

Fazit

Ob das „PayPal-Leak“ echt oder nicht war, ist für Unternehmen zweitrangig. Das eigentliche Risiko entsteht durch Passwort-Wiederverwendung und fehlende Absicherung. Wer heute auf eindeutige Passwörter, MFA und klare Prozesse setzt, schützt sich vor finanziellen Schäden – und zeigt zugleich, dass er Datenschutz ernst nimmt.

Über uns

Wir sind Experten für Datenschutz mit juristischem Hintergrundwissen. Unser Team vereint IT- und Rechtsexpertise und unterstützt Unternehmen dabei, praxisnahe und rechtssichere Lösungen umzusetzen.