Top Datenlecks und Datenschutzskandale 2025 (bislang)

1. 23andMe: Genetische Daten verkauft und geleakt

Im Jahr 2023 wurde das DNA-Testunternehmen 23andMe kritisiert, nachdem Hacker:innen detaillierte genetische Informationen zusammen mit Identitätsdaten geleakt und verkauft hatten. Der Vorfall wurde öffentlich, nachdem Auszüge der gestohlenen Daten auf Darknet-Foren zum Verkauf angeboten wurden. Die Daten umfassten Namen, Kontaktdaten, genetische Profile und Abstammungsinformationen. Berichten zufolge waren über sieben Millionen Nutzer:innen betroffen.

Im März 2025 kam es zur nächsten Negativschlagzeile, als 23andMe Insolvenz anmeldete. Laut Angaben des Unternehmens solle die Speicherung und Verwaltung personenbezogener Daten von der Insolvenz nicht betroffen sein. Dennoch erlaubt die Datenschutzrichtlinie von 23andMe die Weitergabe persönlicher Daten an Dritte – unabhängig davon, ob eine Einwilligung vorliegt.

Genetische Daten gelten als besonders sensibel: Sie enthalten nicht nur Gesundheitsinformationen, sondern betreffen auch Verwandte, die oft keine Einwilligung erteilt haben. Im EU-Raum fallen solche Daten unter die „besonderen Kategorien personenbezogener Daten“ gemäß DSGVO und dürfen von Versicherer:innen oder Arbeitgeber:innen nicht genutzt werden. Direct-to-Consumer-Dienste wie 23andMe bewegen sich aber oft in einer rechtlichen Grauzone. Anders als medizinische Versorger:innen unterliegen sie nicht denselben strengen Vorschriften. Besonders kritisch: Die Einwilligung einer Person kann die Privatsphäre ihrer gesamten biologischen Familie kompromittieren.

Die Insolvenz von 23andMe wirft weitere Fragen zu Speicherung, Verarbeitung und möglichem Verkauf dieser besonders schutzwürdigen Daten auf – gerade dann, wenn starke gesetzliche Regelungen fehlen.

2. Samsung: 270.000 Kund:innendatensätze geleakt

Im März 2025 wurde Samsung Opfer eines Datenlecks mit 270.000 gestohlenen und veröffentlichten Kund:innendatensätzen.

Im Leak enthalten waren Namen, E-Mail-Adressen, Telefonnummern, Bestellnummern und Produktangaben (z. B. TV-Modelle) sowie Kundenbeschwerden und die Antworten von Samsung. Das betroffene System gehörte Samsung Deutschland.

Die Angreifer:innen erlangten Zugriff mit Zugangsdaten, die bereits 2021 geklaut worden waren, nachdem ein:e Mitarbeiter:in eines Samsung-Partners mit Malware infiziert worden war. Die Malware sammelte Zugangsdaten vom Gerät der betroffenen Person ein. Die Sicherheitsfirma Hudson Rock hatte Samsung schon vor Jahren auf die geleakten Zugangsdaten hingewiesen. Dennoch versäumte es Samsung, die Zugangsdaten zu wechseln oder zu sichern. So blieben sie über Jahre aktiv und ermöglichten schließlich den erfolgreichen Angriff 2025.

Takeaway: Sogar sehr große Unternehmen unterschätzen oft die Gefahr durch vergessene Konten und Zugangsdaten. Größe schützt nicht vor Nachlässigkeit!

3. Amazon Echo: Abschaffung der Sprachdaten-Opt-out-Funktion

Am 28. März 2025 kündigte Amazon an, die Einstellung „Keine Sprachaufzeichnungen senden“ für Echo-Geräte abzuschaffen, die On-Device-Storage unterstützen. Fortan werden sämtliche Interaktionen mit Alexa standardmäßig aufgezeichnet und an Amazons Server gesendet. Eine Opt-out-Möglichkeit gibt es damit nicht mehr. Diese Änderung fiel mit dem Launch von Alexa+ zusammen, Amazons neuer KI-gestützter Assistent:in, der kontextbezogene Gespräche ermöglichen soll.

Amazon begründet das mit den erweiterten Funktionen von Alexa+, etwa das Merken alter Gespräche, „intelligentere“ Antworten und mehr Personalisierung. Für Nutzer:innen bedeutet das aber: Sie haben keine Kontrolle mehr darüber, ob ihre Sprachbefehle zu Amazon hochgeladen und analysiert werden. Verbraucherschützer:innen und Datenschutzverbände warnen vor neuen Überwachungsrisiken, gerade weil Alexa+ noch stärker in den Alltag integriert sein soll.

Kritiker:innen sehen die Streichung der Opt-out-Option als Untergrabung der Autonomie über eigene Daten. Sie stellen Fragen, wie lange Amazon die Sprachdaten speichern, wofür sie für KI-Training verwenden und ob sie Dritten oder Werbepartner:innen zugänglich gemacht werden.

Aus DSGVO-Perspektive ist umstritten, ob diese Praktik rechtmäßig ist. 

Denn: Wenn Nutzer:innen der Datenübertragung für die Nutzung des Produkts nicht widersprechen können, ist die Einwilligung nicht „freiwillig, spezifisch, informiert und eindeutig“. Das Minimum für eine wirksame Zustimmung unter der DSGVO!

4. X (Twitter): 200 Mio. Nutzerdaten veröffentlicht

Im März 2025 veröffentlichte ein:e Hacker:in einen gigantischen Datensatz mit 200 Millionen X- (vormals Twitter-)Accounts samt E-Mails, Handles und IDs.

Die Ursache der Lecks geht zurück auf eine Schwachstelle, die bereits Anfang 2022 an das Bug-Bounty-Programm von Twitter gemeldet wurde. Damit ließen sich Telefonnummern oder E-Mail-Adressen ungeprüft Twitter-Accounts zuordnen. Obwohl Twitter die Sicherheitslücke anerkannte und später beheben ließ, war es da für sehr viele Datensätze schon zu spät: Angreifer:innen nutzten die offene Lücke zum massenhaften Datenabgriff.

Das Resultat tauchte nun 2025 erneut auf, weil ein:e Datenforscher:in das alte Datenset mit einem neueren Netzwerk-Leak kombinierte und als einheitlichen Datendump veröffentlichte.

Gerade Social Networks stehen im Fokus von Angreifer:innen, weil Identitätsbetrug, Phishing und Social Engineering hier einfach sind und der Datenschatz riesig ist. Die Hauptlehre: Wenn Schwachstellen nicht sofort konsequent geschlossen werden, sind millionenfache Daten Lecks 2025 vorprogrammiert!

Empfehlung: APIs genauso gut absichern wie Webseiten oder Apps! Rate-Limiting, Validierung, Authentifizierung und regelmäßige Tests sind Pflicht. Bug-Bounty-Meldungen müssen immer ernst genommen und sofort bearbeitet werden.

5. Coinbase: Datenpanne durch bestochene Supportmitarbeiter:innen

Im Mai 2025 gab Crypto-Börse Coinbase einen erheblichen Datenvorfall bekannt. Angreifer:innen bestachen ausgelagerte Supportmitarbeiter:innen, um Zugriff auf interne Systeme und sensible Kund:innendaten zu erlangen. Rund 510.000 Kund:innen waren betroffen.

Gestohlen wurden Namen, Post- und E-Mail-Adressen, Telefonnummern, die letzten vier Stellen von Sozialversicherungsnummern, maskierte Bankkontonummern, Bank-IDs, Ausweisdokumente (z. B. Führerschein, Pass), Kontosalden und Transaktionshistorien. Auch interne Firmenunterlagen wurden exfiltriert.

Die Angreifer:innen forderten 20 Mio. Dollar Lösegeld für Nichtveröffentlichung. Coinbase verweigerte die Zahlung und lobte stattdessen selbst 20 Mio. Dollar für Hinweise aus. Das Unternehmen schätzt die Gesamtkosten des Vorfalls auf 180 bis 400 Mio. Dollar für Behebung und Entschädigungen.

Hauptursache: Der Zugang outsourced Supportrollen birgt massive Gefahren. Überprüfung und Monitoring von Third Parties, besonders beim Zutritt zu sensiblen Daten, sind unerlässlich.

6. Dior: Datenpanne in China durch Drittanbieter

Im Mai 2025 musste Dior ein Datenleck mit chinesischen Kund:innendaten öffentlich machen und sich entschuldigen.

Betroffen waren persönliche Infos wie Name, Kontaktdaten und Einkaufsverläufe von Kund:innen, die Dior-Services in China genutzt hatten. Verantwortlich war ein externer Dienstleister, der die vereinbarten Datenschutzprotokolle missachtete – so gelangten die Daten unautorisiert an Dritte.

Dior startete nach Bekanntwerden sofort eine interne Untersuchung und erhöhte die Sicherheitsvorgaben für externe Partner:innen.

Takeaway: Jeder Datenzugriff von Drittparteien sollte streng kontrolliert und regelmäßig auditiert werden.

7. TikTok: 530-Mio.-€-Strafe wegen Datenübertragung nach China

Im Mai 2025 wurde TikTok von der irischen Datenschutzaufsicht mit einer Rekordstrafe von 530 Mio. € belegt, weil sie personenbezogene Daten von rund 1,1 Mio. EU-Nutzer:innen – darunter viele Minderjährige – unrechtmäßig auf Server in China verschoben hatten. Übertragen wurden Name, Kontaktinformationen, Verhaltensdaten und Gerätekennungen.

Die Behörden bemängelten insbesondere, dass TikTok zwischen 2020 und 2022 die Nutzer:innen nicht darüber informierte, dass ihre Daten nach China transferiert werden. Die Übertragung verstieß gegen die Transparenz-Anforderungen der DSGVO, und weil Chinas Überwachungsgesetze sehr weitgehende Behördenzugriffe erlauben, galt die Datenspeicherung dort als besonders riskant.

Wichtiges Learning: Unternehmen müssen Datenübertragungen in Drittländer klar dokumentieren, bewerten sowie offen und ehrlich kommunizieren.

8. Hertz: Datenleck via Cleo File Sharing Service

Anfang 2025 meldete Hertz ein Datenleck aufgrund einer Schwachstelle beim Drittanbieter Cleo, einem File-Sharing-Dienst.

Von Oktober bis Dezember 2024 wurden Informationen wie Name, Kontaktdaten, Geburtsdatum, Führerscheinnummer, Kreditkartendetails und in Einzelfällen Sozialversicherungsnummer, Passinformationen und Angaben zur Arbeitsunfähigkeitsversicherung abgegriffen – über 100.000 Kund:innen weltweit, betroffen waren USA, Kanada, EU, UK und Australien.

Erneut zeigt sich: Sorgfältige Prüfung und Kontrolle der Sicherheitsstandards bei Third-Party-Tools sind Pflicht, nicht Kür!

9. Facebook: 1,2 Milliarden Datensätze angeblich geleakt

Im Mai 2025 behauptete ein:e Hacker:in, 1,2 Mrd. Facebook-Konten über eine API abgegriffen zu haben. Im Leak befanden sich angeblich UserIDs, Namen, E-Mail-Adressen, Nutzer:innenamen, Telefonnummern, Standorte, Geburtstage und Geschlecht.

Sicherheitsforscher:innen von Cybernews verifizierten mehrere Datensätze, konnten aber nicht bestätigen, dass wirklich alle 1,2 Mrd. Einträge neu sind – Facebook hält sie teils für einen recycelten Alt-Leak.

Sollte sich der Vorfall bestätigen, wäre es einer der größten Scrape-Vorfälle in Facebooks Geschichte.

10. 184 Millionen Datensätze: Microsoft, Apple, Google & PayPal betroffen

Im Mai 2025 entdeckte ein:e Sicherheitsforscher:in eine offene Elasticsearch-Datenbank mit über 184 Mio. Einträgen: Von Microsoft-, Apple-, Google-, Facebook-, PayPal- und Netflix-Accounts bis hin zu Regierungs- und Firmendaten aus mindestens 29 Ländern. Die Datenbank war nicht durch Passwort oder Verschlüsselung geschützt.

Außerdem fanden sich Zugangsdaten für Bankkonten, Gesundheitsplattformen und Regierungswebsites – das Risiko für Identitätsdiebstahl war immens. Die Daten stammten vermutlich von infostealer-Malware.

Warnung: Solche Credential-Sammlungen sind pures Gold für Cyberkriminelle und erhöhen das Risiko für Kettenreaktionen bei Angriffen auf Partnerunternehmen massiv.

11. Meta: 200-Millionen-Euro-Strafe für „Consent or Pay“-Modell

Im April 2025 verhängte die EU eine 200-Mio.-Euro-Strafe gegen Meta wegen des Modells „Zustimmen oder zahlen“ auf Facebook und Instagram. Nutzer:innen mussten entweder einer breiten Verarbeitung ihrer Daten (inkl. personalisierter Werbung) zustimmen, oder ein Abo kaufen, das Tracking ausschließt. Die Kommission sah darin keinen „echten“ Entscheidungsspielraum, was der DSGVO widerspricht.

Fazit: Freiwilligkeit, Transparenz und wirkliche Wahlmöglichkeiten sind zentrale Prinzipien im Datenschutz – wer Nutzer:innen vor die Wahl „Zustimmen oder zahlen“ stellt, riskiert Bußgelder und Vertrauensverlust.

Siehe auch: EU verhängt Millionenstrafen gegen Apple und Meta – Ein Signal an alle Digitalunternehmen

12. Apple: 500-Mio.-Euro-Strafe wegen App Store Restrictions

Ebenfalls im April 2025 wurde Apple mit einer halben Milliarde Euro Strafe durch die EU belegt. Grund: Entwickler:innen hatten keine Möglichkeit, Kund:innen auf günstigere Alternativen außerhalb des App Stores hinzuweisen – das bremste Wettbewerb, schränkte Nutzer:innenauswahl ein und widersprach dem Gesetz über digitale Märkte (DMA).

Merke: Marktbeherrschende Plattformen stehen unter besonderer Beobachtung und müssen faire Bedingungen schaffen. Abschottung und Intransparenz führen zu enormen Schäden, finanziell wie ideell.

Die erste Jahreshälfte 2025 zeigt: Die bekannten Fehler wiederholen sich überall. Die wichtigsten Erkenntnisse für Unternehmen – unabhängig von Größe oder Branche – sind:

1. Das Third-Party-Risiko wird unterschätzt:
Fälle wie Dior, Coinbase, Hertz und Samsung begannen allesamt mit externen Partner:innen. Vergiss nie: Jeder Dienstleister erweitert eure Angriffsfläche. Viele Unternehmen prüfen ihre Partner:innen nicht oder setzen zu niedrige Standards.

Maßnahme: Führe strikte Due Diligence durch, sichere Datenschutzklauseln im Vertrag und führe regelmäßige Security Audits durch. Sorge für „Least Privilege“-Zugriffsrechte. Mit heyDatas Vendor Risk Management Tool findest du DSGVO-konforme Anbieter:innen.

2. Altbekannte Schwachstellen bleiben offen:
Veraltete Credentials bei Samsung oder eine bekannte API-Lücke bei X zeigen: Viele Lecks gehen auf uralte Probleme zurück – meistens, weil sie ignoriert werden.

Maßnahme: Implementiere ein konsequentes Schwachstellen-Management, dokumentiere alle Meldungen und behebe diese schnell. Drehe Zugänge regelmäßig.

3. Datenminimierung bleibt Theorie:
Die Gefahr wächst mit dem Volumen sensibler Daten – von Genetik bis zu Passbildern und Kontodaten. Wer alles speichert, verliert irgendwann alles.

Maßnahme: Sammle und speichere nur das Notwendigste für deinen Dienst. Überprüfe regelmäßig die Datenhaltung, lösche Überflüssiges, pseudonymisiere maximal.

4. Einwilligungen fehlen oder werden manipuliert:
Amazon und TikTok umgehen bewusst Nutzer:innenrechte – das schadet nicht nur rechtlich, sondern vor allem dem Vertrauen.

Maßnahme: Halte dich an den Geist der DSGVO: Einwilligung muss freiwillig, informiert, spezifisch und eindeutig sein. Sei offen bei Änderungen und gib echte Entscheidungen.

5. Die Kosten für Fehler steigen:
TikTok zahlt 530 Mio. Euro, Coinbase rechnet mit bis zu 400 Mio. Dollar Schaden – Datenschutzverletzungen gefährden Existenzen, Vertrauen und Marktanteile.

Maßnahme: Datenschutz ist Chefsache, kein Kontrollkästchen. Investiere fortlaufend in Security, Schulungen und Compliance – nicht nur bei Audits!

Die Datenlecks 2025 zeigen keine neuen Angriffsweisen, sondern geben die alten Wahrheiten wieder: Sicherheit, Third-Party-Kontrolle, Transparenz und sofortiges Handeln sind Pflicht. Wer jetzt noch abwartet, riskiert alles – von der Geldstrafe bis zum dauerhaften Reputationsverlust.

Dein Unternehmen verarbeitet personenbezogene Daten? Dann ist jetzt die Zeit, alle Abläufe, Policies und Systeme auf den Prüfstand zu stellen.

Nutze die Praxisbeispiele aus diesem Artikel, um Schwachstellen systematisch zu identifizieren und gezielt abzustellen. Wenn du Hilfe brauchst, bietet dir heyDatas All-in-One-Compliance-Lösung intuitive Tools plus rechtliche Expertise für Datenschutz, Cybersecurity und KI-Compliance.

Was versteht man unter einer Datenschutzverletzung?
Eine Datenschutzverletzung (Datenleck) ist das unbefugte Abrufen, Kopieren, Offenlegen oder Stehlen personenbezogener Daten – häufig durch Hackerangriffe oder Fehlverhalten von Mitarbeitenden und Dienstleistern.

Was waren 2025 die größten Datenlecks?
Die prominentesten Vorfälle betrafen Unternehmen wie 23andMe (genetische Daten), Samsung, Coinbase, Facebook, TikTok, Meta, Apple und Amazon.

Welche Strafen drohen Unternehmen bei schweren Datenschutzverletzungen?
Verstöße gegen die DSGVO können mit Bußgeldern in Millionenhöhe geahndet werden (z.B. 530 Mio. € für TikTok, 500 Mio. € für Apple).

Wie können sich Unternehmen vor Datenpannen schützen?
Wichtige Maßnahmen sind: Auswahl sicherer Dienstleister:innen, regelmäßige IT-Sicherheitsupdates, Datenminimierung, klar geregelte Zugriffsrechte und umfassende Aufklärung der Mitarbeitenden.

Was sind die Folgen für die Betroffenen?
Risiken sind Identitätsdiebstahl, Betrug, persönlicher Schaden sowie Kontrollverlust über die eigenen Daten. Oft leidet das Vertrauen in das Unternehmen nachhaltig.

Was ist bei einem Datenleck zu tun?
Sofort die Aufsichtsbehörde informieren, Betroffene schnell und transparent benachrichtigen, die Ursache beheben und erneute Risiken verhindern.