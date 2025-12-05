Datenleck: Was beim Dienstleister von OpenAI passiert ist
OpenAI setzte Mixpanel als externen Webanalyse-Dienstleister ein, um die Nutzung der API-Plattform auszuwerten. Am 9. November 2025 registrierte Mixpanel einen unbefugten Zugriff auf Teile seiner Systeme; Angreifer exportierten ein Datenset mit begrenzten Kunden- und Analysedaten. Mixpanel informierte OpenAI über den Vorfall und übermittelte am 25. November 2025 den betroffenen Datensatz.
Nach der anschließenden Analyse durch OpenAI sind vor allem folgende Informationen von API-Nutzern betroffen:
- Namen und E-Mail-Adressen der API-Konten
- ungefähre geografische Zuordnung (Stadt, Bundesland, Land)
- Browser- und Betriebssystemdaten
- Referrer-Webseiten
- Organisations- oder User-IDs, die mit den Konten verknüpft sind
Fragen und Antworten: Rechte und Pflichten bei Datenlecks
- Welche Pflichten haben Unternehmen wie OpenAI bei einem Datenleck?
Sie müssen den Vorfall intern prüfen, Schutzmaßnahmen bewerten, die Datenschutzaufsicht melden und – bei erhöhtem Risiko – Betroffene informieren. Grundlage sind vor allem die Pflichten zur Datensicherheit und Verantwortlichkeit (Art. 5, 24, 32 DSGVO) sowie die Auswahl und Kontrolle von Dienstleistern wie Mixpanel (Art. 28 DSGVO).
- Ab wann besteht bei einem Datenleck eine Pflicht, Betroffene zu informieren?
Sobald das Datenleck voraussichtlich zu einem hohen Risiko für die Rechte der Betroffenen führt, besteht eine unverzügliche Informationspflicht nach Art. 34 DSGVO. Die Meldung an die Aufsichtsbehörde muss in der Regel innerhalb von 72 Stunden erfolgen (Art. 33 DSGVO).
- Welche Rechte haben Betroffene eines Datenlecks, wenn nur ein Verdacht besteht?
Betroffene können Auskunft verlangen, ob sie betroffen sind und welche Daten genau im Spiel sind (Art. 15 DSGVO). Sie können außerdem Löschung oder Einschränkung der Verarbeitung verlangen (Art. 17, 18 DSGVO) und sich bei der Aufsichtsbehörde beschweren (Art. 77 DSGVO) – auch dann, wenn der Vorfall noch nicht vollständig aufgeklärt ist.
- Können Betroffene eine Datenlecks Schadensersatz fordern?
Art. 82 DSGVO gibt Betroffenen einen Anspruch auf Ersatz materieller und immaterieller Schäden, wenn gegen die DSGVO verstoßen wurde und daraus ein Schaden entstanden ist. Dazu können auch Angst vor Missbrauch, Kontrollverlust über eigene Daten und der Aufwand für Schutzmaßnahmen gehören – immer abhängig vom Einzelfall.
- Welche Rolle spielt die DSGVO bei einem Datenleck-Vorfall, insbesondere Bußgelder und Meldepflichten?
Die DSGVO ist die zentrale Rechtsgrundlage: Sie regelt die Meldepflichten bei Datenpannen (Art. 33, 34 DSGVO) und die Pflicht zu geeigneten Sicherheitsmaßnahmen (Art. 32 DSGVO). Bei Verstößen drohen Bußgelder nach Art. 83 DSGVO, die bei groben Versäumnissen gerade für große Plattformanbieter sehr hoch ausfallen können.
- Wie sollten Unternehmen reagieren, deren Geschäfts-E-Mails von einem Datenleck betroffen sind?
Passwörter ändern, Zwei-Faktor-Authentifizierung aktivieren, Mitarbeitende gezielt vor Phishing warnen und verdächtige Mails an IT oder Security melden. Diese Schritte dienen auch dazu, die eigene Pflicht zur Sicherheit der Verarbeitung (Art. 32 DSGVO) im Ernstfall nachweisbar zu erfüllen.
- Welche Bedeutung hat es, wenn „nur“ die E-Mail-Adresse von einem Datenleck betroffen ist?
Auch eine E-Mail-Adresse ist personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO, sobald sie einer natürlichen Person zugeordnet werden kann. In Verbindung mit Name, Unternehmen oder Standort reicht das für zielgerichtete Phishing-Angriffe – juristisch ist das daher kein Bagatellfall.
- Was können Betroffene tun, wenn sie Opfer von Phishing werden?
Zugänge sichern (Passwörter ändern, MFA aktivieren), Vorfall dokumentieren, den Anbieter informieren und Strafanzeige erstatten. Parallel können sie ihre Rechte nach der DSGVO nutzen – etwa Beschwerde bei der Aufsicht (Art. 77 DSGVO) und ggf. Schadensersatzansprüche (Art. 82 DSGVO) prüfen lassen.
- Wie können sich Unternehmen beim Einsatz externer Dienste wie OpenAI absichern?
Durch klare Auftragsverarbeitungsverträge (Art. 28 DSGVO), Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO), Verschlüsselung/Pseudonymisierung und ein strukturiertes Vendor-Risk-Management. Zudem müssen internationale Datentransfers rechtlich sauber abgesichert werden (Art. 44 ff. DSGVO).
- Welche Präventionsmaßnahmen sind bei einem Datenleck sinnvoll?
Datenflüsse zu Drittanbietern überprüfen, Sicherheitsstandards und Notfallpläne anpassen, Mitarbeitende schulen und die Datenschutzdokumentation (Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO, Risikoanalysen) aktualisieren. Das senkt nicht nur das Risiko künftiger Vorfälle, sondern verbessert auch die Position gegenüber Aufsichtsbehörden und vor Gericht.
Der Vorfall bei OpenAI und Mixpanel macht deutlich, dass selbst „begrenzte“ Metadaten erhebliche Risiken mit sich bringen können. Aus Sicht der Kanzlei Dr. Stoll & Sauer lassen sich daraus allgemeine Handlungsempfehlungen für Betroffene von Datenlecks ableiten:
1. Information prüfen
Betroffene sollten zunächst klären, ob eine erhaltene Nachricht zum Datenleck echt ist oder bereits ein Phishing-Versuch. Wichtig ist:
- stammt die Mail nachweislich vom betroffenen Unternehmen oder der Behörde,
- welche Datenarten sind betroffen (Kontaktdaten, Zahlungsdaten, Zugangsdaten, besonders sensible Daten),
- betrifft der Vorfall das Unternehmen selbst oder – wie beim OpenAI-Datenleck – einen externen Dienstleister.
Auch wenn offiziell keine Passwörter oder API-Schlüssel geleakt wurden, empfiehlt es sich, zumindest zentrale Konten zu härten:
- Passwörter ändern, insbesondere bei Mehrfachverwendung,
- Zwei-Faktor-Authentifizierung aktivieren,
- ungewöhnliche Logins oder E-Mail-Aktivitäten im Blick behalten,
- bei möglichen Zahlungsdatenkontakten Kontoauszüge und Kreditkartenumsätze kontrollieren.
Durch Kombination aus Name, E-Mail-Adresse, Organisation und technischen Details können Angreifer täuschend echte Nachrichten „im Namen von OpenAI“ oder anderen Diensten verfassen. Betroffene sollten deshalb:
- misstrauisch gegenüber unerwarteten Sicherheitswarnungen oder Login-Aufforderungen sein,
- keine Zugangsdaten über Links in E-Mails eingeben,
- Portale, etwa von OpenAI, stets direkt im Browser aufrufen, statt auf Links in Nachrichten zu klicken.
Neben technischen Schritten sollten Betroffene ihre Rechte aktiv nutzen:
- Auskunft nach Art. 15 DSGVO, ob und in welchem Umfang sie betroffen sind,
- ggf. Löschung oder Einschränkung der Verarbeitung (Art. 17, 18 DSGVO),
- Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO), wenn Informationspflichten nicht erfüllt wurden,
- Prüfung von Schadensersatzansprüchen nach Art. 82 DSGVO, insbesondere bei Kontrollverlust über Daten, Phishing-Angriffen oder anderem Missbrauch.
Spätestens wenn Betroffene vermehrt Phishing-Mails erhalten, konkrete Missbrauchsanzeichen sehen oder vom Unternehmen keine klaren Auskünfte bekommen, empfiehlt sich eine rechtliche Prüfung. Die Kanzlei Dr. Stoll & Sauer unterstützt Betroffene dabei, ihre Ansprüche gegenüber Unternehmen wie OpenAI oder deren Dienstleistern durchzusetzen. Im kostenlosen Datenschutz-Online-Check können Betroffene prüfen lassen, ob sich im konkreten Einzelfall eine Geltendmachung von Ansprüchen lohnt.
