Ihre Handynummer ist keine harmlose Kontaktinformation mehr. Sie ist ein Identitätsanker — verknüpft mit Bankkonten, Messenger-Diensten, Social-Media-Profilen und staatlichen Diensten. Laut dem Datenschutzbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) 2024 waren Telefonnummern in 68 % aller untersuchten Datenpannen in Deutschland enthalten.
TL;DR: Ihre Handynummer ist gefährlicher als Ihre E-Mail-Adresse — sie ermöglicht SIM-Swap-Angriffe, Phishing und Identitätsdiebstahl. Die DSGVO gibt Ihnen starke Rechte, aber Data Minimization ist besser als Rechtsdurchsetzung nach einem Vorfall. Virtuelle Nummern von SMSCode (ab 0,29 €) schützen Ihre echte Nummer, bevor sie überhaupt weitergegeben wird.
Warum Ihre Handynummer so wertvoll ist
Eine Telefonnummer ist mehr als eine Adresse. Plattformen, Werbetreibende und Kriminelle wissen das. Eine einzige Mobilnummer verbindet Dutzende von Konten und Diensten — und macht damit jeden, der die Nummer kennt, zu einem potenziellen Angreifer.
Laut einer Untersuchung von Surfshark aus 2023 wurden weltweit über 17 Milliarden Datensätze mit Telefonnummern im Darknet gehandelt. Die meisten stammten aus Datenpannen bei Social-Media-Plattformen, Online-Shops und Telekommunikationsanbietern.
Wie Nummern in die falschen Hände geraten
Der erste Weg: aktive Weitergabe. Man gibt die Nummer bei einem Online-Shop an, meldet sich für einen Newsletter an oder registriert sich bei einer App. Ab diesem Moment ist die Nummer in einer Datenbank — und diese Datenbank kann gehackt, verkauft oder von einem Mitarbeiter gestohlen werden.
Der zweite Weg: Datenpannen. Selbst seriöse Unternehmen werden gehackt. Der Facebook-Datenleck 2021 betraf 533 Millionen Nutzer, darunter ihre Telefonnummern. Viele dieser Nummern sind heute in Spam-Datenbanken und werden für Phishing genutzt.
Der dritte Weg: Datenhandel. Manche Unternehmen verkaufen Telefonnummern legal oder halbwegs legal an Werbepartner. Die Zustimmung dazu ist oft tief in AGB-Texten vergraben — die kaum jemand liest.
Der vierte Weg: Öffentliche Quellen. Wer seine Nummer auf Social Media veröffentlicht, in einem öffentlichen Forum nennt oder auf einer Website als Kontakt hinterlegt, erlaubt es Scrapers, die Nummer systematisch zu sammeln.
Was DSGVO-Recht tatsächlich bedeutet
Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 in Kraft und gilt europaweit. Sie gibt Nutzern konkrete Rechte — aber viele Menschen wissen nicht, wie sie diese durchsetzen.
Das Auskunftsrecht (Art. 15 DSGVO) erlaubt es, von jedem Unternehmen innerhalb von 30 Tagen eine vollständige Auskunft zu verlangen: Welche Daten werden gespeichert? Wer hat Zugriff? Wie lange werden sie aufbewahrt? Das Unternehmen muss antworten — kostenlos und schriftlich.
Das Recht auf Löschung in der Praxis
Art. 17 DSGVO (“Recht auf Vergessenwerden”) klingt mächtig. In der Praxis hat es Grenzen. Unternehmen können Daten aufbewahren, wenn gesetzliche Aufbewahrungspflichten bestehen — zum Beispiel Rechnungsdaten für sechs Jahre. Doch Telefonnummern in Marketing-Datenbanken können auf Antrag gelöscht werden.
So funktioniert ein Löschungsantrag in Deutschland:
- Schriftliche Anfrage an den Datenschutzbeauftragten des Unternehmens
- Referenz auf Art. 17 DSGVO und explizite Nennung der zu löschenden Daten
- Frist: 30 Tage für die Antwort
- Bei Nicht-Reaktion: Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde (in Bayern: BayLDA, in NRW: LDI NRW, bundesweit: BfDI)
Das Problem mit nachträglicher DSGVO-Durchsetzung ist strukturell: Bis Sie eine Löschungsanfrage stellen können, ist Ihre Nummer möglicherweise bereits in Hunderten von Sub-Datenbanken und weiterverkauften Listen. Die DSGVO erlaubt Löschung beim Erstempfänger — aber nicht bei jedem, der die Daten inzwischen erhalten hat. Data Minimization — also das Vermeiden der Weitergabe von Anfang an — ist praktisch wirksamer.
Smishing: Die unterschätzte Bedrohung
Smishing kombiniert “SMS” und “Phishing”. Angreifer senden täuschend echte SMS im Namen von Banken, Paketdiensten oder Behörden. Laut Statista hat sich die Zahl der Smishing-Angriffe in Deutschland zwischen 2021 und 2024 vervierfacht.
Typische Nachrichten: “Ihr Paket kann nicht zugestellt werden — klicken Sie hier.” Oder: “Ihre Kreditkarte wurde gesperrt — bestätigen Sie Ihre Daten.” Der Link führt auf eine gefälschte Website, die Zugangsdaten oder Kreditkartennummern stiehlt.
Wer seine echte Handynummer bei möglichst wenigen Diensten hinterlegt hat, ist ein deutlich kleineres Ziel. Smisher arbeiten mit gekauften oder gestohlenen Nummernlisten — je weniger Einträge, desto seltener die Nachrichten.
Erkennungsmerkmale von Smishing-SMS:
- Unerwartete Nachrichten von angeblichen Dienstleistern
- Dringlichkeitssignale (“sofort handeln”, “innerhalb von 24 Stunden”)
- Links auf Domains, die nicht die offizielle Domain des Dienstleisters sind
- Grammatikfehler oder ungewöhnliche Formulierungen
- Anforderung von Zugangsdaten, Kreditkartennummern oder persönlichen Informationen
SIM-Swap: Der gefährlichste Angriff auf Ihre Nummer
SIM-Swapping ist die direkte Übernahme Ihrer Handynummer durch einen Angreifer. Das Vorgehen: Der Angreifer sammelt zunächst öffentliche Informationen über Sie (Name, Adresse, Geburtstag — oft aus Social Media). Dann ruft er Ihren Mobilfunkanbieter an und gibt vor, Sie zu sein, mit dem Wunsch, die Nummer auf eine neue SIM zu übertragen.
Erschreckend viele Mobilfunkanbieter-Mitarbeiter führen diese Transfers durch, ohne ausreichende Identitätsprüfung. Sobald der Transfer abgeschlossen ist, empfängt der Angreifer alle Ihre SMS — inklusive 2FA-Codes für Ihr Online-Banking, Ihre E-Mail und Ihre Social-Media-Konten.
Schutzmaßnahmen gegen SIM-Swap:
- Beim Anbieter eine Port-Schutz-PIN oder SIM-Change-PIN einrichten (bei Telekom, Vodafone und O2 möglich — nachfragen)
- SMS-basierte 2FA bei wichtigen Konten durch Authenticator-App ersetzen
- Für kritische Konten (Bank, Krypto) Hardware-Security-Keys verwenden
- Konten überwachen: Unerklärliche Verbindungsabbrüche des eigenen Handys können ein Zeichen für einen laufenden SIM-Swap sein
Virtuelle Nummern als Datenschutzwerkzeug
Der effektivste Schutz für Ihre echte Handynummer ist Datensparsamkeit — das DSGVO-Prinzip der “Datenminimierung” (Art. 5 Abs. 1 lit. c DSGVO) in der Praxis. Wenn Sie Ihre echte Nummer nie weitergeben, kann sie auch nicht in falsche Hände geraten.
Virtuelle Nummern von SMSCode ermöglichen genau das. Bei Online-Registrierungen, Newsletter-Anmeldungen oder App-Downloads geben Sie eine virtuelle Nummer an. Der Dienst sendet seinen Bestätigungscode an diese Nummer — Sie sehen ihn in Ihrem Dashboard und schließen die Registrierung ab. Ihre echte Nummer erfährt der Dienst nie.
Nutzer, die systematisch virtuelle Nummern für Online-Registrierungen verwenden, berichten nach sechs bis zwölf Monaten von einer deutlichen Abnahme an Spam-SMS und unerwünschten Marketing-Anrufen auf ihrer echten Nummer — weil diese in weniger Datenbanken auftaucht.
Welche Situationen besonders gefährlich sind
Nicht alle Online-Interaktionen sind gleich riskant. Diese Situationen sind datenschutztechnisch besonders problematisch:
Gewinnspiele und Promotionen: Oft werden Daten an Werbepartner weitergegeben. Das steht in den Teilnahmebedingungen — aber kaum jemand liest sie. Gewinnspiele sind klassische Datensammler.
Kostenlose App-Downloads: Apps, die nach einer Telefonnummer fragen, ohne klaren Grund, sammeln oft Daten für Marketingzwecke. Viele Free-to-Play-Spiele und Shopping-Apps tun das.
Online-Marktplätze: Bei Kleinanzeigen-Plattformen ist die Nummer für andere Nutzer sichtbar — und kann von Bots gesammelt werden. Hier ist eine virtuelle Nummer besonders sinnvoll.
Neue oder unbekannte Online-Shops: Datenpannen bei kleinen Anbietern sind häufiger, weil Sicherheitsinvestitionen fehlen. Wer dort mit echter Nummer einkauft, riskiert den Datenabfluss.
Restaurant-Apps und Loyalty-Programme: Diese Kategorie wird oft unterschätzt. Loyalty-Programme sammeln Kaufverhalten und persönliche Daten in erheblichem Umfang.
Was passiert mit Ihrer Nummer nach der Weitergabe?
Sobald eine Nummer in einer Unternehmensdatenbank ist, verläuft der typische Lebenszyklus so: Das Unternehmen nutzt sie für eigene Kommunikation. Es gibt sie möglicherweise an Drittanbieter weiter (Transaktionsdienstleister, Marketingagenturen). Bei einer Datenpanne landet sie in einem Darknet-Marktplatz. Dort wird sie gekauft und in Spam- oder Phishing-Listen integriert.
Eine Studie von Digital Shadows (2023) schätzte, dass eine einmal im Darknet geleakte Nummer im Durchschnitt innerhalb von 90 Tagen in aktiven Spam-Kampagnen auftaucht. Die DSGVO kann die ursprüngliche Datenpanne nicht rückgängig machen.
Was auf Darknet-Marktplätzen für Nummern bezahlt wird:
- Deutsche Nummern mit verknüpften Bankdaten: 10–50 € pro Datensatz
- Einfache Nummern ohne Zusatzdaten: unter 1 € pro 1.000 Einträge
- Vollständige Identitätspakete (Nummer + Name + Adresse + E-Mail): 50–200 €
Diese Preise zeigen: Einzelne Nummern sind für Kriminelle billig zu bekommen. Der Schutz muss präventiv sein.
Praktische Schutzstrategie für 2026
Eine realistische Schutzstrategie kombiniert mehrere Ebenen. Keine einzelne Maßnahme ist ausreichend, aber zusammen reduzieren sie das Risiko erheblich.
Stufe 1: Minimierung. Geben Sie Ihre echte Nummer nur dort an, wo es wirklich nötig ist — bei Ihrer Bank, dem Arbeitgeber, dem Arzt und vertrauenswürdigen staatlichen Stellen. Für alles andere: virtuelle Nummern.
Stufe 2: Überwachung. Prüfen Sie regelmäßig, ob Ihre Nummer in Datenpannen aufgetaucht ist. HaveIBeenPwned.com bietet seit 2024 auch eine Telefonnummern-Suche an. Der BSI Newsletter informiert über aktuelle Datenpannen.
Stufe 3: Reaktion. Wenn Ihre Nummer in einem Leck auftaucht: Stellen Sie Löschungsanfragen an den betroffenen Dienst, aktivieren Sie erhöhte Sicherheitsmaßnahmen bei Konten, die mit dieser Nummer verknüpft sind (Wechsel von SMS-2FA auf Authenticator-App), und seien Sie erhöht wachsam bei eingehenden SMS.
Stufe 4: Prävention für die Zukunft. Kaufen Sie für neue Registrierungen grundsätzlich virtuelle Nummern. SMSCode bietet Nummern ab 0,29 € — günstiger als das Risiko einer kompromittierten Nummer.
DSGVO-Auskunftsrecht nutzen: Schritt für Schritt
Wenn Sie Ihre Nummer aus einer bestehenden Datenbank entfernen möchten, ist das Auskunftsrecht der erste Schritt. So gehen Sie vor:
Schritt 1: Identifizieren Sie alle Dienste, bei denen Sie Ihre echte Nummer hinterlegt haben. Schauen Sie in Einstellungen → Kontoprofil oder suchen Sie in alten E-Mails nach Bestätigungsnachrichten.
Schritt 2: Senden Sie eine DSGVO-Auskunftsanfrage per E-Mail an den Datenschutzbeauftragten. Betreff: “DSGVO-Auskunftsantrag gemäß Art. 15 DSGVO”. Inhalt: Name, Kontonummer oder Registrierungsdaten, explizite Frage nach gespeicherter Telefonnummer und Weitergabe an Dritte.
Schritt 3: Folgen Sie auf die Auskunft mit einem Löschungsantrag (Art. 17 DSGVO), sofern keine Aufbewahrungspflicht besteht.
Schritt 4: Bei Nicht-Reaktion innerhalb von 30 Tagen: Beschwerde bei der Datenschutzaufsichtsbehörde Ihres Bundeslandes einreichen. Bußgelder können empfindlich hoch sein — das erhöht die Bereitschaft zur Compliance.
Datenschutz bei Messengern: Besondere Risiken
Messenger-Dienste sind besondere Risikozonen für die Telefonnummer, weil sie die Nummer als primären Identifikator verwenden.
WhatsApp: Speichert Kontaktlisten aller Nutzer auf Meta-Servern. Selbst wenn Sie WhatsApp löschen, bleiben Ihre Nummer in den Kontaktlisten anderer Nutzer gespeichert. WhatsApp kann nicht wissen, wessen Kontaktlisten Ihre Nummer enthalten.
Telegram: Sieht die Registrierungsnummer und nutzt sie für die Konto-Identifikation. Bei korrekten Datenschutzeinstellungen ist die Nummer nicht für andere Nutzer sichtbar — aber Telegram selbst hat sie.
Signal: Beste Datenschutzpraktiken der Branche, minimale Metadaten-Speicherung. Aber auch Signal verknüpft Ihr Konto mit Ihrer Telefonnummer.
Lösung für alle: Registrierung mit virtueller Nummer schützt vor der primären Schwachstelle.
Telefonnummern und KI: Neue Risiken für 2026
Künstliche Intelligenz eröffnet neue Angriffsvektoren, die die Handynummer betreffen.
Deepfake-Sprachanrufe: Angreifer können heute realistische Stimmen bekannter Personen (Vorgesetzte, Familie) generieren. Diese werden per Sprachanruf an die Zielnummer gesendet, um Überweisungen oder Zugangsdaten zu erschleichen. Der “CEO-Betrug” per Telefon ist in Deutschland stark gestiegen.
AI-gestützte Phishing-Personalisierung: Mit Daten aus Datenlecks können Angreifer hochpersonalisierte SMS generieren, die echte Details enthalten (Name, Wohnort, zuletzt genutzter Dienst). Das macht sie schwerer als Phishing erkennbar.
Schutz: Generelles Misstrauen gegenüber unerwarteten Anfragen per SMS oder Anruf — egal wie überzeugend. Immer über einen bekannten, verifizierten Kanal zurückrufen.
Digitale Identität schützen: Die 3-Kreise-Strategie
Ein praktisches Konzept für strukturierten Datenschutz: Die 3-Kreise-Strategie für Kontaktdaten.
Kreis 1 (Vertraute): Bank, Arzt, Arbeitgeber, Behörden, enge Familie. Hier kommt die echte Handynummer — sehr wenige Einträge.
Kreis 2 (Geprüfte Dienste): Bekannte Plattformen, die man regelmäßig nutzt und denen man vertraut. Hier kann die echte Nummer verwendet werden, aber SMS-2FA durch Authenticator-App ersetzen, um SIM-Swap-Risiko zu eliminieren.
Kreis 3 (Alles andere): Neue Dienste, Gewinnspiele, Apps, unbekannte Shops — hier immer virtuelle Nummern. Die echte Nummer kommt in diesen Kreis nie.
Diese Strategie macht Datenschutz zur einfachen Entscheidungsregel: Welchem Kreis gehört dieser Dienst an? Die Antwort bestimmt automatisch, welche Nummer man verwendet.
Anonyme Alternativen zur Telefonnummer für die Zwei-Faktor-Authentifizierung
Wer SMS-2FA durch sicherere Methoden ersetzen möchte, hat mehrere Optionen:
TOTP-Authenticator-Apps: Zeitbasierte Einmalpasswörter werden lokal auf dem Gerät generiert. Kein SMS-Netz, kein Telefonanbieter, keine SIM-Karte notwendig. Empfehlenswerte Apps: Aegis (Android, open-source), Authy (iOS/Android mit Cloud-Backup), Google Authenticator.
Hardware-Security-Keys: YubiKey oder Nitrokey — physische Geräte, die per USB oder NFC authentifizieren. Unphishbar: Selbst bei vollständig kompromittierter E-Mail kommt kein Angreifer ohne den physischen Key ins Konto.
Passkeys: Der neueste Standard — bald auf allen großen Plattformen. Passkeys nutzen biometrische Daten des Geräts (Fingerabdruck, Gesichtserkennung) für die Authentifizierung. Keine Passwörter, keine SMS, kein Phishing möglich.
Die Umstellung von SMS-2FA auf eine dieser Methoden ist die effektivste Schutzmaßnahme für bestehende Konten — und sollte parallel zur Nutzung virtueller Nummern für neue Registrierungen umgesetzt werden.
FAQ
Muss ich bei Online-Shops wirklich eine Telefonnummer angeben?
In den meisten Fällen nein. Wenn ein Online-Shop eine Telefonnummer als Pflichtfeld verlangt, ohne dass es für die Bestellung notwendig wäre (z. B. für Expresslieferung mit Telefonbenachrichtigung), können Sie eine virtuelle Nummer angeben. Die DSGVO verbietet die Erhebung unnötiger Daten (Datenminimierungsprinzip, Art. 5 DSGVO) — Sie haben also das Recht, unnötige Datenerhebung abzulehnen.
Wie schütze ich mich vor Smishing?
Wichtigste Regel: Klicken Sie niemals auf Links in unerwarteten SMS, besonders von unbekannten Nummern. Banken und Behörden senden niemals Links per SMS und fragen nie nach Zugangsdaten. Bei Unsicherheit: Besuchen Sie die offizielle Website direkt (URL eintippen, nicht klicken) oder rufen Sie die offizielle Telefonnummer an.
Ist eine virtuelle Nummer DSGVO-konform zu nutzen?
Ja. Die Nutzung einer virtuellen Nummer ist legal und widerspricht nicht der DSGVO. Sie sind nicht verpflichtet, Ihre echte Handynummer preiszugeben — das Datenminimierungsprinzip gibt Ihnen im Gegenteil das Recht, nur die nötigsten Daten weiterzugeben.
Was tue ich, wenn meine echte Nummer bereits in einer Datenpanne war?
Sofort handeln: Stellen Sie Löschungsanfragen bei den betroffenen Diensten, aktivieren Sie erhöhte 2FA-Sicherheit (Authenticator-App statt SMS) bei allen wichtigen Konten, die mit dieser Nummer verknüpft sind, und seien Sie wachsam bei eingehenden SMS. Erwägen Sie, für neue Registrierungen ab sofort nur noch virtuelle Nummern zu nutzen.
Kann ich bei deutschen Behörden eine virtuelle Nummer angeben?
Bei Behörden (Finanzamt, Einwohnermeldeamt, Krankenversicherung) ist eine echte Nummer empfehlenswert, da offizielle Kommunikation sonst nicht zugestellt werden kann. Diese Stellen unterliegen strengen Datenschutzvorschriften und DSGVO-Aufbewahrungspflichten. Für alles außerhalb staatlicher Stellen sind virtuelle Nummern eine sinnvolle Alternative.
Wie finde ich heraus, welche Dienste meine Telefonnummer gespeichert haben?
Nutzen Sie Ihr DSGVO-Auskunftsrecht (Art. 15 DSGVO) und senden Sie Auskunftsanfragen an die Dienste, bei denen Sie sich mit Ihrer Nummer registriert haben. Eine vollständige Liste lässt sich durch Durchsuchen alter Registrierungs-E-Mails erstellen. Tools wie GDPR Requests oder die Deutsche Verbraucherzentrale bieten kostenlose Musterbriefe.
Ist es möglich, die Telefonnummer vollständig aus dem Internet zu entfernen?
Für bereits weitergegebene Daten: nur begrenzt. Sie können Löschungsanfragen an bekannte Dienste senden, aber weiterverkaufte Daten sind schwer zurückzurufen. Für die Zukunft: Vollständig möglich durch konsequente Nutzung virtueller Nummern für alle Online-Aktivitäten.