Opfer eines Datenlecks wie bei OpenAI?

Beim Webanalyse-Dienstleister Mixpanel sind im November 2025 Daten von Nutzern der OpenAI-API-Plattform abgeflossen. Nach einem Bericht von heise online vom 27. November 2025 und einer Mitteilung von OpenAI vom 26. November 2025 wurden „begrenzte Analysedaten“ aus den Systemen von Mixpanel entwendet, darunter Namen, E-Mail-Adressen und Standortdaten von API-Nutzern. ChatGPT-Nutzer und Inhalte von Chats sollen laut OpenAI nicht betroffen sein. Gleichwohl zeigt der Vorfall, wie sensibel Metadaten sind und welche Pflichten Unternehmen bei Datenpannen haben. Die Kanzlei Dr. Stoll & Sauer beantwortet zentrale Fragen zum OpenAI-Datenleck und gibt eine allgemeine Anleitung, was Betroffene bei Datenlecks beachten müssen. Betroffene können ihre Rechte im kostenlosen Datenschutz-Online-Check prüfen lassen. Die Chancen auf Schadensersatz sind durch die aktuelle Rechtsprechung des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH) enorm gestiegen. Bereits der Kontrollverlust über die eigenen Daten genügt, um Schadensersatzansprüche geltend zu machen.

Datenleck: Was beim Dienstleister von OpenAI passiert ist

OpenAI setzte Mixpanel als externen Webanalyse-Dienstleister ein, um die Nutzung der API-Plattform auszuwerten. Am 9. November 2025 registrierte Mixpanel einen unbefugten Zugriff auf Teile seiner Systeme; Angreifer exportierten ein Datenset mit begrenzten Kunden- und Analysedaten. Mixpanel informierte OpenAI über den Vorfall und übermittelte am 25. November 2025 den betroffenen Datensatz.

Nach der anschließenden Analyse durch OpenAI sind vor allem folgende Informationen von API-Nutzern betroffen:

• Namen und E-Mail-Adressen der API-Konten
• ungefähre geografische Zuordnung (Stadt, Bundesland, Land)
• Browser- und Betriebssystemdaten
• Referrer-Webseiten
• Organisations- oder User-IDs, die mit den Konten verknüpft sind

Nicht betroffen sein sollen insbesondere Passwörter, API-Schlüssel, Zahlungsdaten sowie Inhalte von Chats oder API-Anfragen.

Fragen und Antworten: Rechte und Pflichten bei Datenlecks

• Welche Pflichten haben Unternehmen wie OpenAI bei einem Datenleck?
  Sie müssen den Vorfall intern prüfen, Schutzmaßnahmen bewerten, die Datenschutzaufsicht melden und – bei erhöhtem Risiko – Betroffene informieren. Grundlage sind vor allem die Pflichten zur Datensicherheit und Verantwortlichkeit (Art. 5, 24, 32 DSGVO) sowie die Auswahl und Kontrolle von Dienstleistern wie Mixpanel (Art. 28 DSGVO).
• Ab wann besteht bei einem Datenleck eine Pflicht, Betroffene zu informieren?
  Sobald das Datenleck voraussichtlich zu einem hohen Risiko für die Rechte der Betroffenen führt, besteht eine unverzügliche Informationspflicht nach Art. 34 DSGVO. Die Meldung an die Aufsichtsbehörde muss in der Regel innerhalb von 72 Stunden erfolgen (Art. 33 DSGVO).
• Welche Rechte haben Betroffene eines Datenlecks, wenn nur ein Verdacht besteht?
  Betroffene können Auskunft verlangen, ob sie betroffen sind und welche Daten genau im Spiel sind (Art. 15 DSGVO). Sie können außerdem Löschung oder Einschränkung der Verarbeitung verlangen (Art. 17, 18 DSGVO) und sich bei der Aufsichtsbehörde beschweren (Art. 77 DSGVO) – auch dann, wenn der Vorfall noch nicht vollständig aufgeklärt ist.
• Können Betroffene eine Datenlecks Schadensersatz fordern?
  Art. 82 DSGVO gibt Betroffenen einen Anspruch auf Ersatz materieller und immaterieller Schäden, wenn gegen die DSGVO verstoßen wurde und daraus ein Schaden entstanden ist. Dazu können auch Angst vor Missbrauch, Kontrollverlust über eigene Daten und der Aufwand für Schutzmaßnahmen gehören – immer abhängig vom Einzelfall.
• Welche Rolle spielt die DSGVO bei einem Datenleck-Vorfall, insbesondere Bußgelder und Meldepflichten?
  Die DSGVO ist die zentrale Rechtsgrundlage: Sie regelt die Meldepflichten bei Datenpannen (Art. 33, 34 DSGVO) und die Pflicht zu geeigneten Sicherheitsmaßnahmen (Art. 32 DSGVO). Bei Verstößen drohen Bußgelder nach Art. 83 DSGVO, die bei groben Versäumnissen gerade für große Plattformanbieter sehr hoch ausfallen können.
• Wie sollten Unternehmen reagieren, deren Geschäfts-E-Mails von einem Datenleck betroffen sind?
  Passwörter ändern, Zwei-Faktor-Authentifizierung aktivieren, Mitarbeitende gezielt vor Phishing warnen und verdächtige Mails an IT oder Security melden. Diese Schritte dienen auch dazu, die eigene Pflicht zur Sicherheit der Verarbeitung (Art. 32 DSGVO) im Ernstfall nachweisbar zu erfüllen.
• Welche Bedeutung hat es, wenn „nur“ die E-Mail-Adresse von einem Datenleck betroffen ist?
  Auch eine E-Mail-Adresse ist personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO, sobald sie einer natürlichen Person zugeordnet werden kann. In Verbindung mit Name, Unternehmen oder Standort reicht das für zielgerichtete Phishing-Angriffe – juristisch ist das daher kein Bagatellfall.
• Was können Betroffene tun, wenn sie Opfer von Phishing werden?
  Zugänge sichern (Passwörter ändern, MFA aktivieren), Vorfall dokumentieren, den Anbieter informieren und Strafanzeige erstatten. Parallel können sie ihre Rechte nach der DSGVO nutzen – etwa Beschwerde bei der Aufsicht (Art. 77 DSGVO) und ggf. Schadensersatzansprüche (Art. 82 DSGVO) prüfen lassen.
• Wie können sich Unternehmen beim Einsatz externer Dienste wie OpenAI absichern?
  Durch klare Auftragsverarbeitungsverträge (Art. 28 DSGVO), Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO), Verschlüsselung/Pseudonymisierung und ein strukturiertes Vendor-Risk-Management. Zudem müssen internationale Datentransfers rechtlich sauber abgesichert werden (Art. 44 ff. DSGVO).
• Welche Präventionsmaßnahmen sind bei einem Datenleck sinnvoll?
  Datenflüsse zu Drittanbietern überprüfen, Sicherheitsstandards und Notfallpläne anpassen, Mitarbeitende schulen und die Datenschutzdokumentation (Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO, Risikoanalysen) aktualisieren. Das senkt nicht nur das Risiko künftiger Vorfälle, sondern verbessert auch die Position gegenüber Aufsichtsbehörden und vor Gericht.

Datenleck am Beispiel OpenAI: So sollten Betroffene vorgehen

Der Vorfall bei OpenAI und Mixpanel macht deutlich, dass selbst „begrenzte“ Metadaten erhebliche Risiken mit sich bringen können. Aus Sicht der Kanzlei Dr. Stoll & Sauer lassen sich daraus allgemeine Handlungsempfehlungen für Betroffene von Datenlecks ableiten:

1. Information prüfen
Betroffene sollten zunächst klären, ob eine erhaltene Nachricht zum Datenleck echt ist oder bereits ein Phishing-Versuch. Wichtig ist:

• stammt die Mail nachweislich vom betroffenen Unternehmen oder der Behörde,
• welche Datenarten sind betroffen (Kontaktdaten, Zahlungsdaten, Zugangsdaten, besonders sensible Daten),
• betrifft der Vorfall das Unternehmen selbst oder – wie beim OpenAI-Datenleck – einen externen Dienstleister.

2. Sicherheit anpassen
Auch wenn offiziell keine Passwörter oder API-Schlüssel geleakt wurden, empfiehlt es sich, zumindest zentrale Konten zu härten:

• Passwörter ändern, insbesondere bei Mehrfachverwendung,
• Zwei-Faktor-Authentifizierung aktivieren,
• ungewöhnliche Logins oder E-Mail-Aktivitäten im Blick behalten,
• bei möglichen Zahlungsdatenkontakten Kontoauszüge und Kreditkartenumsätze kontrollieren.

3. Phishing und Social Engineering ernst nehmen
Durch Kombination aus Name, E-Mail-Adresse, Organisation und technischen Details können Angreifer täuschend echte Nachrichten „im Namen von OpenAI“ oder anderen Diensten verfassen. Betroffene sollten deshalb:

• misstrauisch gegenüber unerwarteten Sicherheitswarnungen oder Login-Aufforderungen sein,
• keine Zugangsdaten über Links in E-Mails eingeben,
• Portale, etwa von OpenAI, stets direkt im Browser aufrufen, statt auf Links in Nachrichten zu klicken.

4. Rechte nach der DSGVO nutzen
Neben technischen Schritten sollten Betroffene ihre Rechte aktiv nutzen:

• Auskunft nach Art. 15 DSGVO, ob und in welchem Umfang sie betroffen sind,
• ggf. Löschung oder Einschränkung der Verarbeitung (Art. 17, 18 DSGVO),
• Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO), wenn Informationspflichten nicht erfüllt wurden,
• Prüfung von Schadensersatzansprüchen nach Art. 82 DSGVO, insbesondere bei Kontrollverlust über Daten, Phishing-Angriffen oder anderem Missbrauch.

5. Wann anwaltliche Hilfe sinnvoll ist
Spätestens wenn Betroffene vermehrt Phishing-Mails erhalten, konkrete Missbrauchsanzeichen sehen oder vom Unternehmen keine klaren Auskünfte bekommen, empfiehlt sich eine rechtliche Prüfung. Die Kanzlei Dr. Stoll & Sauer unterstützt Betroffene dabei, ihre Ansprüche gegenüber Unternehmen wie OpenAI oder deren Dienstleistern durchzusetzen. Im kostenlosen Datenschutz-Online-Check können Betroffene prüfen lassen, ob sich im konkreten Einzelfall eine Geltendmachung von Ansprüchen lohnt.

Dr. Stoll & Sauer zählt zu den führenden Verbraucherkanzleien

Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH gehört zu den führenden Kanzleien im Verbraucherschutz. Mit 18 Anwälten und Fachanwälten berät die Kanzlei an den Standorten Lahr und Stuttgart in zentralen Rechtsgebieten und ist spezialisiert auf Bank- und Kapitalmarktrecht, den Abgasskandal, Arbeits-, IT-, Versicherungs- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen Volkswagen und erreichten für 260.000 Verbraucher einen Vergleich über 830 Millionen Euro. Aktuell führen sie eine weitere Musterfeststellungsklage gegen die Mercedes-Benz Group AG mit erstem Erfolg in der ersten Instanz. Zudem vertreten Anwälte der Kanzlei Kläger in der Sammelklage zum Facebook-Datenleck gegen Meta in Deutschland.