Qantas-Datenleck schockt Millionen Kunden

Kanzlei Dr. Stoll & Sauer warnt vor gezielten Phishing-Angriffen

Millionen Kunden der Fluggesellschaft Qantas sind von einem schweren Datenleck betroffen. Gestohlene Informationen – darunter Namen, Adressen und Vielfliegernummern – tauchen bereits im Darknet auf und könnten für täuschend echte Phishing-Angriffe missbraucht werden. Nach einem Bericht von ad-hoc-news.de vom 14. Oktober 2025 wurden rund 5,7 Millionen Kundendatensätze von der Hackergruppe „Scattered Lapsus$ Hunters“ veröffentlicht. Die Verbraucherkanzlei Dr. Stoll & Sauer sieht darin einen möglichen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) und rät Betroffenen, ihre Ansprüche prüfen zu lassen. Eine kostenlose Ersteinschätzung bietet die Kanzlei im DSGVO-Online-Check an. Dr. Stoll & Sauer hat in vergleichbaren Fällen – etwa beim Facebook-Datenleck – Schadensersatzsummen von bis zu 3.000 Euro pro Person durchgesetzt.

Hintergrund zum Qantas-Datenleck

Das Datenleck bei Qantas ist laut einem Bericht des Nachrichtenmagazins Der Spiegel vom 12. Oktober 2025 Teil eines Angriffs auf das Softwareunternehmen Salesforce, von dem neben Qantas auch Konzerne wie Air France, Google oder Ikea betroffen sind. Nach Ablauf einer Lösegeldfrist am 11. Oktober 2025 veröffentlichte die Hackergruppe die persönlichen Daten von Qantas-Kunden. Der Angriff war Teil einer größeren Kampagne gegen Unternehmen, die Salesforce-Systeme nutzen. Da Salesforce auch in Europa weit verbreitet ist, könnte das Leck auch europäische Kunden betreffen.

Die gestohlenen Informationen umfassen:
  • Namen, Anschriften und Geburtsdaten
  • Telefonnummern und E-Mail-Adressen
  • Vielfliegernummern und Punktestände
  • Verknüpfte Profildaten aus Salesforce-Systemen
Zwar betont Qantas, dass Passwörter und Zahlungsinformationen nicht kompromittiert wurden, dennoch liefern die veröffentlichten Datensätze Cyberkriminellen eine perfekte Grundlage für personalisierte Betrugsversuche. Sicherheitsanalysten warnen nach Medienberichten, dass diese Art von Informationen für extrem glaubwürdige Phishing-Mails genutzt werden kann. Qantas hat nach eigenen Angaben interne Untersuchungen eingeleitet und prüft, welche Kundendaten im Darknet aufgetaucht sind.

Rechtliche Bewertung des Qantas-Datenlecks durch Dr. Stoll & Sauer

Nach Einschätzung der Kanzlei könnte ein Verstoß gegen Artikel 32 DSGVO vorliegen, wonach Unternehmen verpflichtet sind, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen. Auch die Informationspflicht nach Artikel 34 DSGVO könnte relevant sein, falls Betroffene nicht rechtzeitig gewarnt wurden. Hat Qantas oder die beteiligte Plattform Salesforce keine ausreichenden Sicherheitsvorkehrungen getroffen, können auch in der EU ansässige Kunden Schadensersatzansprüche nach Artikel 82 DSGVO geltend machen.

Mehrere deutsche Gerichte haben bereits entschieden, dass Betroffene auch dann Anspruch auf Entschädigung haben, wenn sie infolge eines Datenlecks lediglich Angst vor Missbrauch oder emotionalen Stress erlitten haben. So sprachen unter anderem das Landgericht Frankfurt und das Landgericht München I Entschädigungen zwischen 1.000 und 3.000 Euro zu.

Die Kanzlei empfiehlt Betroffenen:
  • E-Mails von Qantas oder Salesforce mit äußerster Vorsicht behandeln
  • Keine Links oder Anhänge aus unbekannten Quellen öffnen
  • Passwörter umgehend ändern und Zwei-Faktor-Authentifizierung aktivieren
  • Datenschutzverstoß über den DSGVO-Online-Check der Kanzlei prüfen
Eine kostenlose Ersteinschätzung ist jederzeit im DSGVO-Online-Check von Dr. Stoll & Sauer möglich.

Rechtsprechung auf Seiten der Verbraucher

Die Rechtsprechung von Europäischem Gerichtshof (EuGH) und Bundesgerichtshof (BGH) stärkt die Position von Betroffenen eins Datenlecks:
  • EuGH, Urteil vom 4. Mai 2023 – C-300/21
    Der Europäische Gerichtshof stellte klar, dass immaterielle Schäden ersatzfähig sind. Es genügt bereits das Gefühl des Kontrollverlusts, Angst vor Identitätsdiebstahl oder der Eindruck ständiger Überwachung.
  • BGH, Urteil vom 5. März 2021 – VI ZR 12/19
    Der Bundesgerichtshof bestätigte, dass Art. 82 DSGVO einen eigenständigen Schadensersatzanspruch begründet. Auch ohne nachweisbaren materiellen Schaden können Betroffene Entschädigung verlangen.
  • BGH, Urteil vom 18. November 2024 – VI ZR 10/24
    Besonders grundlegend: Der BGH entschied, dass schon der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellt. Es reicht also aus, dass Betroffene erfahren, dass ihre Daten in falsche Hände geraten sind – selbst ohne konkreten Missbrauch.
Jetzt handeln: Kostenlose Ersteinschätzung im Online-Check

Betroffene des Datenlecks bei Qantas sollten ihre Situation umgehend prüfen lassen. Die Kanzlei Dr. Stoll & Sauer hilft dabei, die rechtlichen Optionen einzuschätzen, Ansprüche zu sichern und etwaige Verstöße gegen die DSGVO aufzudecken. Jetzt kostenlose Ersteinschätzung im Datenschutz-Online-Check starten und Ansprüche sichern.

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH

Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH ist eine der führenden Kanzleien im Verbraucherschutz. Mit 18 Anwälten und Fachanwälten berät die Kanzlei Mandanten an den Standorten Lahr, und Stuttgart in zentralen Rechtsgebieten. Besonders spezialisiert ist sie auf Bank- und Kapitalmarktrecht, den Abgasskandal, Arbeits-, Verkehrs-, IT-, Versicherungs- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG und handelten für 260.000 Verbraucher einen Vergleich über 830 Millionen Euro aus. Aktuell führen sie in einer Spezialgesellschaft die Musterfeststellungsklage gegen die Mercedes-Benz Group AG – mit einem ersten Erfolg in der ersten Instanz. Darüber hinaus vertreten Anwälte der Kanzlei Kläger in der Sammelklage zum Facebook-Datenleck gegen den Tech-Konzern Meta in Deutschland.

