Was ist beim Pornhub-Datenleck passiert?
Pornhub erklärt laut heise, dass „einige Premium-Nutzer“ betroffen seien, nennt aber keine konkrete Zahl; Zahlungs- und Zugangsdaten sollen nicht betroffen sein. BILD.de berichtet unter Berufung auf den Sicherheitsvorfall bei Mixpanel, dass die Gruppe ShinyHunters mit der Veröffentlichung von Daten drohe und dafür Geld fordere.
BleepingComputer berichtet, Pornhub sei im Rahmen der Mixpanel-Erpressungswelle kontaktiert worden; die Erpresser behaupten demnach 94 GB Daten mit über 200 Millionen Datensätzen (u. a. Such-, Watch- und Download-Aktivitäten) erlangt zu haben. Mixpanel selbst hat am 27. November 2025 einen Sicherheitsvorfall (Smishing-Kampagne, Incident Response, externe Forensik) beschrieben und betont, nur eine begrenzte Zahl von Kunden sei betroffen gewesen.
Wichtig: Zu einzelnen Detailbehauptungen der Täter (Umfang/Datensatzinhalt) liegen aktuell nur Medienberichte vor; die Untersuchungen sind nach heise noch nicht abgeschlossen.
Welche Daten laut Berichten vom Pornhub-Datenleck betroffen sind
Nach der Berichterstattung (u. a. BleepingComputer/BILD) sollen insbesondere Analytics- und Aktivitätsdaten betroffen sein, etwa:
- E-Mail-Adresse von Premium-Konten (behauptet)
- Video-URL/Video-Titel, aufgerufene Inhalte, Suchbegriffe (behauptet)
- Aktivitätstypen (z. B. ansehen, herunterladen) und Zeitstempel (behauptet)
- weitere technische/kontextbezogene Metadaten (behauptet)
Pornhub betont nach den Berichten, dass Passwörter, Zahlungs- und Finanzdaten nicht offengelegt worden seien.
Welche Risiken für Betroffene des Pornhub-Datenlecks entstehen?
Bei derartigen Datensätzen steht nicht nur „klassischer“ Identitätsmissbrauch im Raum, sondern vor allem:
- Erpressung und Einschüchterung mit angeblichen Belegen aus der Nutzungshistorie
- Phishing und Social Engineering, weil Angreifer Mails sehr glaubwürdig personalisieren können
- Rufschädigung und Druck im privaten/beruflichen Umfeld, wenn intime Nutzungsdaten offengelegt werden
Die Verbraucherzentrale warnt seit Jahren vor typischen Erpressungsmails mit „Porno-/Webcam“-Behauptungen – ein echter Datenabfluss kann solche Maschen zusätzlich gefährlich machen.
Was Betroffene jetzt tun sollten
Dr. Stoll & Sauer rät Betroffenen, pragmatisch und beweissicher vorzugehen:
- Vorsicht vor Droh- und Phishing-Mails: keine Links öffnen, keine Zahlungen leisten, keine Kommunikation „unter Druck“ führen.
- Passwortwechsel: insbesondere, wenn Passwörter mehrfach genutzt wurden; zusätzlich 2-Faktor-Authentifizierung aktivieren, wo möglich.
- Konto- und Zahlungsaktivitäten prüfen: auch wenn Zahlungsdaten laut Berichten nicht betroffen sein sollen.
- Beweise sichern: Drohmails, Absender, Header, Screenshots, Zeitpunkte dokumentieren.
- Rechtlich prüfen lassen: ob Informationspflichten eingehalten wurden und ob ein DSGVO-Schadensersatzanspruch in Betracht kommt – kostenlose Ersteinschätzung im Datenschutz-Online-Check.
Rechtliche Einschätzung: EuGH und BGH stärken Schadensersatz
Bei Datenpannen können Betroffene unter Umständen immateriellen Schadensersatz nach Art. 82 DSGVO verlangen. Der EuGH hat im Urteil „Österreichische Post“ (C-300/21, Urteil vom 04.05.2023) klargestellt: Ein DSGVO-Verstoß allein genügt nicht, aber es gibt keine Bagatellgrenze – auch ein nicht erheblicher immaterieller Schaden kann ersatzfähig sein.
Für Datenleck-Fälle besonders wichtig ist zudem das EuGH-Urteil C-340/21 (Urteil vom 14.12.2023, „Natsionalna agentsia za prihodite“): Danach kann bereits die begründete Befürchtung eines Missbrauchs entwendeter Daten einen immateriellen Schaden darstellen; entscheidend bleibt die nachvollziehbare Darlegung im Einzelfall.
Der Bundesgerichtshof hat im Scraping-Komplex zu Facebook ebenfalls verbraucherfreundlich entschieden: Schon der bloße (auch kurzzeitige) Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden begründen (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24).
Erfolgspraxis von Dr. Stoll & Sauer in Datenschutzfällen
Dr. Stoll & Sauer hat in vergleichbaren DSGVO-Verfahren bereits Schadensersatz für Betroffene durchgesetzt. Beispielhaft ist ein rechtskräftiges Urteil gegen Mastercard Europe: 1.000 Euro Schadensersatz wegen Datenleck (Urteil vom 18.03.2025, Az. 73 C 3964/24). Auch in weiteren Datenschutzfällen berichtet die Kanzlei über erfolgreiche Durchsetzungen.
Betroffene des Pornhub-/Mixpanel-Vorfalls sollten daher prüfen lassen, ob ein ersatzfähiger immaterieller Schaden vorliegt, ob Informationspflichten nach Art. 34 DSGVO erfüllt wurden und ob sich konkrete Ansprüche ergeben. Eine kostenlose Ersteinschätzung bietet Dr. Stoll & Sauer im Datenschutz-Online-Check an.
Dr. Stoll & Sauer zählt zu den führenden Verbraucherkanzleien
Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH gehört zu den führenden Kanzleien im deutschen Verbraucherschutz. Mit 18 Rechtsanwälten und Fachanwälten betreut die Kanzlei an den Standorten Lahr und Stuttgart Mandanten in zentralen Rechtsgebieten. Schwerpunkte sind unter anderem Bank- und Kapitalmarktrecht, der Abgasskandal, Arbeits-, Verkehrs-, IT-, Versicherungs- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG und handelten für rund 260.000 Verbraucher einen Vergleich über 830 Millionen Euro aus. Aktuell führen sie in einer Spezialgesellschaft die Musterfeststellungsklage gegen die Mercedes-Benz Group AG mit ersten Erfolgen in der ersten Instanz. Außerdem vertreten Anwälte der Kanzlei Kläger in der Sammelklage zum Facebook-Datenleck gegen den Tech-Konzern Meta in Deutschland.
Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Einsteinallee 1/1
77933 Lahr
Telefon: +49 (7821) 923768-0
Telefax: +49 (7821) 923768-889
http://www.dr-stoll-kollegen.de
E-Mail: Christoph.Rigling@dr-stoll-kollegen.de
