Eurail informiert nach Datenleck Betroffene über konkreten Datendiebstahl

In der Eurail-E-Mail vom 18. März 2026 an betroffene Verbraucher heißt es, eine Untersuchung mit Unterstützung externer Cybersicherheitsspezialisten und Rechtsberater habe ergeben, dass folgende Kategorien personenbezogener Daten „aus unserer Datenbank abgerufen und kopiert“ worden seien. Genannt werden Vor- und Nachname, Geburtsdatum, Geschlecht, Pass- oder Ausweisnummer, Telefonnummer und Wohnsitzland. Damit bestätigt Eurail selbst, dass nicht nur allgemeine Kundendaten betroffen sind, sondern auch hochsensible Identitätsdaten. 

Besonders brisant ist ein weiterer Hinweis in der Mail. Eurail schreibt, dass „die während des Sicherheitsvorfalls kopierten Daten im Darknet zum Verkauf angeboten wurden und ein Beispieldatensatz auf Telegram veröffentlicht wurde“. Zugleich teilt das Unternehmen den angeschriebenen Betroffenen mit: „Ihre personenbezogenen Daten waren nicht in dem auf Telegram veröffentlichten Beispieldatensatz enthalten.“ Das bedeutet: Nach Darstellung von Eurail sind Daten aus dem Vorfall tatsächlich in kriminellen Kanälen aufgetaucht. Für die konkret angeschriebenen DiscoverEU-Teilnehmer soll allerdings zumindest dieser veröffentlichte Beispieldatensatz nicht ihre eigenen Daten enthalten haben. Die E-Mail ist in englischer Sprache verfasst.

Eurail warnt die Betroffenen außerdem ausdrücklich vor Missbrauch. In der E-Mail heißt es sinngemäß, dass Kriminelle versuchen könnten, die Daten zu missbrauchen. Deshalb sollten Betroffene besonders wachsam bei unerwarteten oder verdächtigen Telefonanrufen, E-Mails oder SMS sein, in denen nach persönlichen Informationen gefragt wird. Zudem empfiehlt Eurail, Passwörter zu ändern und Bankkonten auf ungewöhnliche Vorgänge zu kontrollieren. Schon diese Warnhinweise zeigen, wie ernst das Unternehmen die Gefahrenlage selbst einschätzt. 

• Nach einem Bericht von heise vom 14. Januar 2026 hatte Eurail zunächst mitgeteilt, dass Unbefugte auf Kundendaten zugegriffen haben könnten. Betroffen sein konnten demnach unter anderem Bestell- und Reservierungsdaten sowie Identitätsdaten.
• Heise berichtete zudem, dass Eurail Interrail-Pässe auch im Auftrag der Deutschen Bahn, der ÖBB und der SBB ausstellt.
• Golem meldete am 14. Januar 2026, dass persönliche Daten zahlreicher Eurail- und Interrail-Kunden in die Hände von Angreifern gelangt seien und erhöhte Phishing-Gefahren drohten.
• Nach einem weiteren Bericht von Golem vom 17. Februar 2026 kursierten Daten von Bahnreisenden aus den Programmen Eurail, Interrail und DiscoverEU im Darknet und auf Telegram.
• Das BSI griff den Fall am 4. März 2026 in seinem Bürger-CERT auf und warnte ebenfalls vor im Darknet aufgetauchten Interrail-Kundendaten.
• Die jetzt vorliegende Eurail-E-Mail vom 18. März 2026 konkretisiert den Vorfall weiter. Danach wurden Vor- und Nachname, Geburtsdatum, Geschlecht, Pass- oder Ausweisnummer, Telefonnummer und Wohnsitzland tatsächlich aus der Datenbank abgerufen und kopiert.
• Eurail erklärt in derselben E-Mail, dass kopierte Daten im Darknet zum Verkauf angeboten worden seien und ein Beispieldatensatz auf Telegram veröffentlicht worden sei. 

Warum die neue Eurail-Mail so wichtig ist

Aus Sicht von Dr. Stoll & Sauer verändert die E-Mail die Bewertung des Falls erheblich. Denn während anfangs vor allem von einem möglichen Zugriff die Rede war, bestätigt Eurail nun selbst, dass konkrete personenbezogene Daten kopiert wurden. Zudem wird die Verbreitung im Darknet und auf Telegram nicht mehr nur durch Medienberichte beschrieben, sondern durch das Unternehmen ausdrücklich aufgegriffen. Wer damit rechnen muss, dass Pass- oder Ausweisnummer, Telefonnummer und weitere persönliche Angaben in kriminellen Kreisen kursieren, ist nicht nur theoretisch betroffen. Die Gefahr von Phishing, Social Engineering, Identitätsmissbrauch und weiteren Betrugsversuchen wird dadurch sehr real.

Rechtliche Einschätzung: EuGH und BGH stärken die Rechte Betroffener

Die rechtliche Lage ist für Verbraucher bei Datenlecks günstig. Der Europäische Gerichtshof hat am 14. Dezember 2023 in der Rechtssache C-340/21 klargestellt, dass bereits die begründete Befürchtung eines Missbrauchs personenbezogener Daten einen immateriellen Schaden darstellen kann. Außerdem muss der Verantwortliche darlegen, dass die getroffenen Schutzmaßnahmen im konkreten Fall angemessen waren.

Auch der Bundesgerichtshof hat die Rechte von Betroffenen gestärkt. Nach seiner Pressemitteilung zum Urteil vom 18. November 2024, Az. VI ZR 10/24, kann schon der bloße und auch nur kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen. Ein vollendeter Identitätsdiebstahl muss also nicht erst nachgewiesen werden. Gerade für Fälle wie das Eurail-Datenleck ist das von erheblicher Bedeutung.

Erfolge von Dr. Stoll & Sauer bei Datenlecks

Dr. Stoll & Sauer hat in vergleichbaren Datenschutzfällen bereits Erfolge erzielt und führt bundesweit Verfahren gegen Unternehmen nach Datenlecks und DSGVO-Verstößen.

• Landgericht München: Nach Angaben der Kanzlei wurden 3.000 Euro Schadensersatz für einen Betroffenen des Facebook-Datenlecks erstritten, Az. 47 O 461/24.
• Facebook-Datenleck: Anwälte der Kanzlei sind in die Durchsetzung von Ansprüchen in diesem Komplex eingebunden.
• Die Kanzlei verfügt über umfangreiche Erfahrung bei der Geltendmachung von Auskunfts-, Löschungs- und Schadensersatzansprüchen nach der DSGVO.

Unser Angebot für Betroffene des Eurail-Datenlecks

Dr. Stoll & Sauer bietet Betroffenen des Eurail-, Interrail- und DiscoverEU-Datenlecks eine kostenlose Ersteinschätzung im DSGVO-Online-Check an. Die Kanzlei prüft, ob Ansprüche auf Schadensersatz nach Art. 82 DSGVO bestehen, welche Rechte auf Auskunft und Löschung geltend gemacht werden können und welche Schritte jetzt sinnvoll sind, um Rechte zu sichern und Risiken zu begrenzen.