Die Handynummer ist zu einem der sensibelsten persönlichen Datenpunkte im digitalen Leben geworden. Sie verknüpft Identitäten, ermöglicht SIM-Swap-Angriffe, landet in unzähligen Datenbanken – und ist für Betrüger und Werbetreibende gleichermaßen wertvoll.
Die DSGVO (Datenschutz-Grundverordnung) schützt europäische Bürger mit umfangreichen Rechten. Aber Rechte helfen wenig, wenn die Daten erst einmal draußen sind. Virtuelle Nummern verfolgen einen anderen Ansatz: Data Minimization – also gar nicht erst die echte Nummer preiszugeben.
TL;DR: Virtuelle Nummern sind ein praktisches Werkzeug für DSGVO-konforme Datensparsamkeit. Sie schützen deine echte Handynummer vor Weitergabe, Marketing und Datenpannen – legal und ohne Komfortverlust.
Die Handynummer als sensibler Datenpunkt
Warum ist die Handynummer so wertvoll – und so gefährlich?
Identitäts-Anker: In der digitalen Welt hat die Handynummer die Funktion eines sekundären Identifikators übernommen. Sie verbindet E-Mail-Adressen, Social-Media-Konten, Banking-Apps und Messenger-Dienste miteinander. Wer deine Nummer kennt, kann nach dir suchen, dich kontaktieren und in Verbindung mit anderen Datenpunkten ein detailliertes Profil über dich erstellen.
SIM-Swap-Angriffe: Eine reale und wachsende Bedrohung. Kriminelle überreden Mobilfunkanbieter-Mitarbeiter, eine Nummer auf eine neue SIM umzuleiten – oft mit gefälschten Dokumenten oder durch Social Engineering. Dann übernehmen sie Konten, die SMS-basierte Zwei-Faktor-Authentifizierung nutzen: Bankkonten, E-Mail, Social Media, Kryptobörsen. Mehr dazu im Artikel Schutz vor SIM-Swap.
Datenhandel: Nummern, die bei Unternehmen hinterlegt wurden, werden legal oder illegal weiterverkauft. Datenhändler zahlen für Listen mit Nummern, Kaufverhalten und demografischen Merkmalen. Wenn du dir Spam-SMS von Unternehmen wünderst, du nie kontaktiert hast, ist deine Nummer wahrscheinlich Teil eines solchen Handelsprozesses.
Spam und Phishing: Wer deine Nummer hat, kann Spam-SMS und Phishing-Links schicken. Smishing (SMS-Phishing) ist seit Jahren auf dem Vormarsch und wird immer raffinierter. KI-generierte Nachrichten machen es schwieriger, Betrug von echter Kommunikation zu unterscheiden.
Datenbanken und Datenpannen: Selbst seriöse Unternehmen werden gehackt. Nummern aus Datenlecks tauchen auf Darknet-Marktplätzen auf und werden für weitere Angriffe genutzt. Ein Datenleck bei Dienst A kann dazu führen, dass Angreifer auf Dienst B zugreifen können, wenn du dieselbe Nummer verwendest.
Was die DSGVO wirklich sagt
Die Datenschutz-Grundverordnung ist seit Mai 2018 in der EU in Kraft und gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten – auch wenn das Unternehmen selbst nicht in der EU sitzt. Sie gibt Nutzern starke Rechte, von denen viele nicht einmal wissen, dass sie sie haben.
Die wichtigsten DSGVO-Rechte im Überblick
Recht auf Information (Art. 13–14 DSGVO): Unternehmen müssen klar informieren, welche Daten sie warum sammeln, wie lange sie gespeichert werden und an wen sie weitergegeben werden. Diese Information muss in verständlicher Sprache erfolgen – nicht im Kleingedruckten vergraben.
Auskunftsrecht (Art. 15 DSGVO): Du kannst jederzeit anfragen, welche Daten ein Unternehmen über dich gespeichert hat. Das Unternehmen muss innerhalb von 30 Tagen antworten. Dieses Recht ist kostenlos und kann so oft genutzt werden, wie du möchtest.
Recht auf Berichtigung (Art. 16 DSGVO): Falsche Daten müssen auf Anfrage korrigiert werden. Das gilt auch für unvollständige Informationen.
Recht auf Löschung – “Recht auf Vergessenwerden” (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen. Das Unternehmen muss nachkommen, außer es gibt gesetzliche Aufbewahrungspflichten (z. B. steuerrechtliche Pflichten für Rechnungsdaten).
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst verlangen, dass deine Daten nur noch gespeichert, aber nicht mehr anderweitig genutzt werden – beispielsweise während du einen Löschantrag prüfst.
Datenportabilität (Art. 20 DSGVO): Du kannst deine Daten in einem maschinenlesbaren Format anfordern und zu einem anderen Anbieter mitnehmen. Besonders relevant bei Plattformwechseln.
Widerspruchsrecht (Art. 21 DSGVO): Du kannst jederzeit widersprechen, wenn deine Daten für Marketing oder Profiling genutzt werden. Das muss ein Unternehmen respektieren und darf keinen Nachteil für dich bedeuten.
Datensparsamkeit als DSGVO-Grundsatz
Ein oft übersehenes Prinzip der DSGVO ist die Datensparsamkeit (Art. 5 Abs. 1 lit. c): Unternehmen sollen nur so viele Daten erheben, wie für den angegebenen Zweck notwendig sind.
Praktisch bedeutet das: Wenn ein Lieferdienst für die Bestellabwicklung deine Adresse braucht, aber nicht zwingend deine Handynummer, wäre das Sammeln der Nummer über den Zweck hinaus problematisch. Leider wird dieses Prinzip von Unternehmen oft großzügig interpretiert.
Virtuelle Nummern setzen das Prinzip der Datensparsamkeit auf eigene Initiative um: Du gibst weniger Daten, als technisch möglich wäre. Das ist nicht nur legal – es ist im Sinne der DSGVO.
Wie virtuelle Nummern den Datenschutz stärken
Virtuelle Nummern sind im DSGVO-Kontext ein Werkzeug der informationellen Selbstbestimmung – dem Grundrecht, selbst zu entscheiden, wer welche Informationen über dich weiß.
Datentrennung: Statt mit derselben Handynummer bei Dutzenden von Diensten angemeldet zu sein, nutzt du für verschiedene Dienste verschiedene Nummern (oder virtuelle Nummern für Dienste, denen du weniger vertraust). Das macht Cross-Service-Tracking erheblich schwieriger.
Datenminimierung in der Praxis: Die virtuelle Nummer ist alles, was der Dienst von dir bekommt. Keine Verknüpfung mit deiner echten Identität, kein weiterer Datenpunkt, der in der Datenbank des Dienstes landet.
Kontrolle über Erreichbarkeit: Du entscheidest, wer dich erreichen kann. Marketing-SMS an eine abgelaufene virtuelle Nummer gehen ins Leere – du wirst weder belästigt noch gefährdet.
Schutz vor SIM-Swap: Wenn deine echte Nummer bei keinem (oder nur wenigen) Dienst hinterlegt ist, kann sie nicht für einen SIM-Swap-Angriff auf diese Dienste genutzt werden. Selbst wenn jemand deine Nummer kennt, gibt es keine Konten, über die er Zugang gewinnen könnte.
Datenpannen-Isolation: Falls eine virtuelle Nummer in einem Datenleck auftaucht, ist das ärgerlich, aber isoliert – deine echte Nummer ist nicht betroffen. Die virtuelle Nummer kann nicht zu dir zurückverfolgt werden.
Datenschutzrisiken im Vergleich: Mit echter vs. virtueller Nummer
| Risiko | Echte Nummer | Virtuelle Nummer |
|---|---|---|
| SIM-Swap auf diesen Dienst | Möglich | Nicht anwendbar |
| Spam-SMS bei Datenleck | An deine Nummer | An abgelaufene Nummer |
| Cross-Service-Tracking | Einfach | Schwieriger |
| Phishing-SMS | An deine echte Nummer | An virtuelle Nummer |
| Datenhändler-Profile | Möglich | Kaum möglich |
| Identitäts-Rückverfolgung | Direkt möglich | Stark erschwert |
SMSCode und Datenschutz: Transparenz als Grundsatz
Als Anbieter virtueller Nummern hat SMSCode selbst Datenschutzverantwortung. Wichtige Punkte, die SMSCode von anderen Diensten unterscheidet:
Keine Pflicht zur echten Handynummer: Du musst keine echte Handynummer angeben, um SMSCode zu nutzen. Ein Konto mit E-Mail-Adresse reicht.
Anonyme Zahlungsoptionen: SMSCode akzeptiert Kryptowährungen (USDT, BTC, ETH), was eine weitgehend anonyme Nutzung ermöglicht. Wer auch keine E-Mail-Adresse hinterlassen möchte, kann mit Crypto zahlen und einen anonymen Account erstellen.
Keine Dauerspeicherung von SMS-Inhalten: Empfangene SMS werden nicht länger als für die Zustellung nötig gespeichert. Die Inhalte der Verifizierungscodes sind nicht dauerhaft in Datenbanken archiviert.
Europäisch ausgerichteter Dienst: SMSCode orientiert sich an europäischen Datenschutzstandards und der DSGVO.
Praktische DSGVO-Tipps für den Alltag
Neben virtuellen Nummern gibt es weitere Maßnahmen, die die Privatsphäre im digitalen Alltag verbessern:
E-Mail-Aliasse nutzen: Dienste wie Apple Hide My Email, SimpleLogin oder DuckDuckGo Email Protection erstellen Wegwerf-Adressen, die an die echte Adresse weiterleiten. So ist auch die E-Mail-Adresse geschützt und kann je nach Dienst einzeln deaktiviert werden.
Datenschutzfreundliche Browser: Firefox mit uBlock Origin, Brave oder Safari mit aktivierten Datenschutzfunktionen reduzieren Tracking erheblich. Browser-Fingerprinting ist nach wie vor eine effektive Tracking-Methode – datenschutzfreundliche Browser erschweren sie.
Regelmäßige Auskunftsanfragen stellen: Periodisch bei großen Diensten anfragen, welche Daten gespeichert sind. Das sensibilisiert und ermöglicht gezielte Löschanfragen.
Opt-out nutzen: Viele Dienste bieten in der Datenschutzerklärung oder in den Einstellungen Möglichkeiten, bestimmte Verarbeitungen zu verweigern. Das kostet Zeit, lohnt sich aber besonders für Dienste, die du intensiv nutzt.
Passwort-Manager: Starke, einzigartige Passwörter für jeden Dienst verhindern, dass ein Datenleck bei einem Dienst alle anderen kompromittiert. 1Password, Bitwarden oder ähnliche Tools machen das praktikabel.
Authenticator-Apps statt SMS-2FA: App-basierte 2FA ist sicherer als SMS und trennt die Zwei-Faktor-Authentifizierung von der Handynummer. Google Authenticator, Authy oder Microsoft Authenticator sind etablierte Optionen.
Deine DSGVO-Rechte praktisch nutzen
Auskunftsanfrage stellen
Du kannst bei jedem Unternehmen, das deine Daten verarbeitet, eine schriftliche Auskunft anfragen:
- Datenschutzerklärung des Unternehmens aufrufen – dort steht die Kontaktadresse für Datenschutzanfragen
- E-Mail oder Brief an den Datenschutzbeauftragten senden – Bezug auf Art. 15 DSGVO nehmen
- Deine Identität belegen (oft reicht eine E-Mail von der Adresse, die du für das Konto genutzt hast)
- Antwort innerhalb von 30 Tagen fordern – das ist das gesetzliche Maximum
Löschung beantragen
Wenn du dein Konto bei einem Dienst löschst, sind nicht automatisch alle Daten gelöscht. Stelle zusätzlich schriftlich die vollständige Datenlöschung an:
- Bezug auf Art. 17 DSGVO nehmen
- Konkret benennen, welche Daten gelöscht werden sollen (inklusive der Telefonnummer)
- Bestätigung der Löschung verlangen
- Für wichtige Löschanfragen den Vorgang dokumentieren
Beschwerde bei der Aufsichtsbehörde
Falls ein Unternehmen nicht reagiert oder du einen Datenschutzverstoß vermutest:
- Deutschland (Bundesebene): Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI): bfdi.bund.de
- Länderebene: Je nach Bundesland gibt es eigene Landesbeauftragte (z. B. LDA Bayern, HmbBfDI Hamburg)
- EU-weit: Europäischer Datenschutzausschuss (EDPB): edpb.europa.eu
DSGVO-Durchsetzung: Was bei Verstößen passiert
Die DSGVO hat Zähne: Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen – je nachdem, was höher ist. Und diese Strafen wurden tatsächlich verhängt:
- Meta (Facebook/Instagram): Mehrfach mit Hunderten Millionen Euro bestraft (u. a. 1,2 Milliarden Euro 2023 wegen Datentransfers in die USA)
- Amazon: 746 Millionen Euro Bußgeld (2021, Luxemburg) wegen Datenschutzverstößen beim Targeting
- WhatsApp (Meta): 225 Millionen Euro für mangelnde Datentransparenz
- Google: Mehrere Verstöße, mehrere Millionen Euro in verschiedenen EU-Ländern
Die Behörden agieren. Aber sie können nur auf vergangene Verstöße reagieren. Ein Datenleck, das bereits passiert ist, lässt sich nicht rückgängig machen. Vorbeugen durch Datensparsamkeit ist klüger als auf Nachverfolgung zu setzen.
Reale Datenpannen mit Telefonnummern
Abstrakte Datenschutzrisiken werden greifbar mit konkreten Beispielen:
2021 – Facebook/Meta-Leak: Über 530 Millionen Nutzerdaten, darunter Telefonnummern, Geburtsdaten und E-Mail-Adressen, wurden in einem Hackerforum veröffentlicht. Betroffen waren auch Millionen deutsche Nutzer. Die Daten stammten aus einer Schwachstelle, die 2019 ausgenutzt wurde – aber die Nummern kursierten noch Jahre später und werden für Phishing und Betrugsversuche genutzt.
2020 – EasyJet-Datenpanne: Millionen Kundendaten, darunter Reisedaten und teils Zahlungsinformationen, wurden gestohlen. Reiseplattformen sind beliebte Angriffsziele, weil sie persönliche Daten mit Bewegungsprofilen kombinieren.
2024 – AT&T-Datenpanne (USA): Nahezu alle Kundendaten von AT&T, einem der größten US-Mobilfunkanbieter, wurden kompromittiert – darunter Anruf- und SMS-Metadaten von Millionen Nutzern.
Was diese Beispiele verbindet: Wessen Daten nie gespeichert wurden, kann auch nicht von einem Datenleck betroffen sein. Data Minimization – weniger preisgeben als möglich – ist die wirksamste Schutzmaßnahme.
Telekommunikationsgesetz (TKG) und virtuelle Nummern in Deutschland
In Deutschland gibt es neben der DSGVO auch das Telekommunikationsgesetz (TKG), das Regeln für Telefonmarketing setzt. Unverlangte Werbeanrufe und -SMS ohne vorherige ausdrückliche Einwilligung sind verboten.
Virtuelle Nummern helfen, diese Belästigung von vornherein zu verhindern. Das Gesetz bietet aber auch die Möglichkeit, bei der Bundesnetzagentur Beschwerde einzureichen, wenn unerwünschte Werbeanrufe eingehen. Die Bundesnetzagentur kann Rufnummern von Spam-Anrufern sperren und Bußgelder gegen Unternehmen verhängen.
Grenzen des Datenschutzes mit virtuellen Nummern
Ehrlichkeit ist wichtig: Virtuelle Nummern lösen nicht alle Datenschutzprobleme.
Zahlungsdaten: Wer mit Kreditkarte zahlt, hinterlässt Spuren – egal ob echte oder virtuelle Nummer. Kryptowährungen sind die anonymere Alternative.
IP-Adresse: Jeder Internetzugang hinterlässt eine IP-Adresse. VPN-Nutzung kann helfen, hat aber eigene Datenschutzfragen.
Device-Fingerprinting: Fortgeschrittene Tracking-Methoden identifizieren Nutzer anhand von Browser- und Geräteeigenschaften, unabhängig von Nummern oder E-Mails.
Verhaltensbasiertes Tracking: Kaufverhalten, Klickpfade und Nutzerverhalten werden auch ohne Telefonnummer erfasst und können für Profiling genutzt werden.
Virtuelle Nummern sind ein wichtiger Baustein – aber kein alleiniges Allheilmittel für Datenschutz im Netz.
Fazit: Datensparsamkeit ist das effektivste Datenschutz-Werkzeug
Die DSGVO gibt dir starke Rechte – aber das wirksamste Recht ist das, Daten gar nicht erst preiszugeben. Virtuelle Nummern setzen genau das um: Datensparsamkeit als Standardeinstellung, nicht als Ausnahme.
Für Menschen, die ihre Privatsphäre ernst nehmen, sind virtuelle Nummern kein Luxus, sondern ein vernünftiges Werkzeug des modernen Datenschutzes.
Jetzt starten – SMSCode-Konto erstellen und erste Nummer für mehr Privatsphäre nutzen.
Weitere Anleitungen
FAQ
Ist die Nutzung virtueller Nummern legal in Deutschland?
Ja, vollständig legal. Das Nutzen einer virtuellen Nummer zur SMS-Verifizierung ist gesetzlich nicht verboten. Virtuelle Nummern werden von legitimen Telekommunikationsdienstleistern betrieben und sind rechtlich anerkannte Rufnummern. Das deutsche TKG und die DSGVO stehen der Nutzung nicht entgegen.
Verletzt eine virtuelle Nummer die DSGVO?
Nein. Im Gegenteil: Virtuelle Nummern unterstützen das DSGVO-Prinzip der Datensparsamkeit (Art. 5 Abs. 1 lit. c). Du gibst weniger personenbezogene Daten preis, als technisch möglich wäre. Das ist genau das, was die DSGVO fördern möchte.
Kann ich meine echten Daten bei Diensten nachträglich durch virtuelle Nummern ersetzen?
In vielen Diensten kannst du die hinterlegte Telefonnummer in den Profileinstellungen ändern. Wenn ein Dienst eine Bestätigungs-SMS an die neue Nummer schickt, kannst du dort eine virtuelle Nummer eintragen. Alte Daten bleiben aber in den Logs und Backups des Dienstleisters gespeichert – ein vollständiges Überschreiben ist nur über eine Löschanfrage nach Art. 17 DSGVO möglich.
Was passiert mit meinen Daten bei SMSCode selbst?
SMSCode erhebt nur die für den Dienst notwendigen Daten. Eine echte Handynummer ist für die Registrierung nicht erforderlich. Anonyme Zahlung mit Kryptowährungen ist möglich. SMS-Inhalte werden nicht dauerhaft gespeichert. Details regelt die Datenschutzerklärung auf der Website.
Wie schütze ich mich vor SIM-Swap-Angriffen?
Indem du deine echte Nummer nicht bei wichtigen Diensten wie Banken, E-Mail-Anbietern oder Social Media als SMS-2FA hinterlegst. Stattdessen: Authenticator-App (z. B. Google Authenticator oder Authy) für 2FA – diese ist nicht an eine Telefonnummer gebunden. Virtuelle Nummern helfen indirekt, indem sie die Verbreitung der echten Nummer einschränken.
Haben Unternehmen das Recht, eine Handynummer zu verlangen?
Nur wenn es für den angegebenen Zweck tatsächlich notwendig ist (Grundsatz der Datensparsamkeit nach Art. 5 DSGVO). Du hast das Recht, eine Angabe zu verweigern – sofern der Dienst dann noch nutzbar ist. Für Dienste, die die Nummer technisch für die Registrierung benötigen, ist eine virtuelle Nummer die eleganteste Lösung.
Was mache ich bei Spam-SMS?
Erst: Nummer beim jeweiligen Dienst aus dem Konto entfernen oder den Account löschen. Dann: Eine Löschanfrage nach Art. 17 DSGVO stellen und explizit verlangen, dass deine Nummer aus Marketing-Datenbanken entfernt wird. Bei wiederholten unerwünschten SMS-Nachrichten aus Deutschland: Beschwerde bei der Bundesnetzagentur einreichen.