Bei Eurail B.V. ist es zu einem gravierenden Datenschutzvorfall gekommen, der Kunden von Interrail, Eurail und dem EU-Reiseprogramm DiscoverEU betrifft. Nach Berichten von heise vom 14. Januar 2026, Golem vom 17. Februar 2026 und einem Hinweis des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom 4. März 2026 sollen personenbezogene Daten von Bahnreisenden bei einem Datenleck abgeflossen und später im Darknet sowie auf Telegram aufgetaucht sein. Dr. Stoll & Sauer bewertet den Fall als weiteres alarmierendes Beispiel dafür, dass Unternehmen hochsensible Verbraucher- und Identitätsdaten unzureichend schützen. Beim Verlust sensibler personenbezogener Daten steigt die Gefahr von Phishing, Betrug und Identitätsdiebstahl erheblich. Betroffene des Eurail-Datenlecks sollten ihre Ansprüche jetzt prüfen lassen; eine kostenlose Ersteinschätzung bietet die Kanzlei im DSGVO-Online-Check an. Nach den Medienberichten informiert Eurail betroffene Kunden derzeit per E-Mail über eine mögliche Betroffenheit.

Welche Daten vom Eurail-Datenleck betroffen sein können

Eurail B.V. ist das niederländische Unternehmen hinter den Eurail- und Interrail-Pässen für grenzüberschreitende Bahnreisen in Europa. Nach dem Bericht von heise stellt Eurail Interrail-Pässe auch im Auftrag der Deutschen Bahn, der ÖBB und der SBB aus. Zudem ist Eurail Vertragspartner im Umfeld des EU-Programms DiscoverEU, über das junge Menschen vergünstigt oder kostenlos durch Europa reisen können.

Nach dem Bericht von heise vom 14. Januar 2026 konnten Angreifer mutmaßlich auf Bestell- und Reservierungsinformationen, Kontakt- und Identitätsdaten sowie auf die Nummer, das Ausstellungsland und das Ablaufdatum von Reisepass oder Personalausweis zugreifen. Golem berichtete ebenfalls am 14. Januar 2026, dass persönliche Daten zahlreicher Eurail- und Interrail-Kunden in die Hände von Angreifern gelangt seien und nun erhöhte Phishing-Gefahren drohten.

Besonders brisant ist, dass das BSI den Vorfall später ebenfalls aufgegriffen hat. Nach dem Bürger-CERT vom 4. März 2026 wurden bei Eurail B.V., dem Anbieter der Interrail-Pässe und Vertragspartner von DiscoverEU, Anfang Januar 2026 Daten abgegriffen; anschließend seien Datensätze im Darknet aufgetaucht. Golem berichtete am 17. Februar 2026 zusätzlich, dass Daten von Bahnreisenden aus den Programmen Eurail, Interrail und DiscoverEU über Telegram und im Darknet verbreitet worden seien.

Die wichtigsten Fakten zum Eurail-Vorfall

• Eurail B.V. ist Anbieter von Eurail- und Interrail-Pässen und Vertragspartner im Umfeld von DiscoverEU.
• Nach heise vom 14. Januar 2026 könnten Angreifer auf Bestell-, Reservierungs-, Kontakt- und Identitätsdaten zugegriffen haben.
• Betroffen sein können auch Ausweisdaten wie Nummer, Ausstellungsland und Ablaufdatum von Pass oder Personalausweis.
• Golem warnte bereits am 14. Januar 2026 vor Phishing-Risiken für betroffene Bahnreisende.
• Am 17. Februar 2026 berichtete Golem, dass Datensätze zu Eurail, Interrail und DiscoverEU im Darknet und auf Telegram kursierten.
• Das BSI bestätigte am 4. März 2026 die Relevanz des Vorfalls und warnte vor den im Darknet aufgetauchten Interrail-Kundendaten.

Warum der Eurail-Fall für Verbraucher so heikel ist

Aus Sicht von Dr. Stoll & Sauer ist der Vorfall juristisch und praktisch hoch relevant. Wenn nicht nur Kontaktdaten, sondern auch Identitäts- und Ausweisdaten betroffen sind, steigt das Risiko für Phishing, Social Engineering und Identitätsmissbrauch erheblich. Für Verbraucher ist das besonders belastend, weil sie oft über lange Zeit nicht wissen können, wo ihre Daten auftauchen, wie sie verwendet werden und ob daraus weitere Schäden entstehen. Die Kombination aus Reisedaten und Identitätsdaten macht missbräuchliche Kontaktaufnahmen zudem besonders glaubwürdig. Diese Gefahrenlage wird durch die Berichte über die Verbreitung im Darknet noch verschärft.

Rechtslage: EuGH stärkt Betroffene bei Datenlecks

Die Rechtsprechung des Europäischen Gerichtshofs ist für Betroffene grundsätzlich verbraucherfreundlich. Der EuGH hat in seinem Urteil vom 14. Dezember 2023 in der Rechtssache C-340/21 klargestellt, dass die Angst vor einem möglichen Missbrauch personenbezogener Daten selbst einen immateriellen Schaden darstellen kann. Zugleich hat der EuGH betont, dass Unternehmen bei unbefugtem Datenzugriff nicht automatisch entlastet sind, sondern darlegen müssen, dass ihre Schutzmaßnahmen im konkreten Fall angemessen waren.

Rechtslage: BGH sieht schon Kontrollverlust als Schaden an

Auch der Bundesgerichtshof hat die Rechte von Verbrauchern in Datenschutzverfahren deutlich gestärkt. In seiner Pressemitteilung zum Urteil vom 18. November 2024, Az. VI ZR 10/24, hat der BGH ausgeführt, dass bereits der bloße und auch kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann. Für Datenleck-Fälle wie bei Eurail ist das von erheblicher Bedeutung, weil Betroffene dadurch ihre Ansprüche auf Schadensersatz leichter begründen können.

Was Betroffene jetzt tun sollten

Betroffene von Eurail, Interrail oder DiscoverEU sollten zunächst prüfen, ob sie eine Benachrichtigung über den Vorfall erhalten haben und welche Daten konkret betroffen sein könnten. Wichtig ist es außerdem, verdächtige E-Mails, SMS oder Anrufe mit besonderer Vorsicht zu behandeln, Passwörter zu ändern und Kontobewegungen aufmerksam zu kontrollieren. Je sensibler die abgeflossenen Daten sind, desto eher sollten auch datenschutzrechtliche Ansprüche auf Auskunft, Schadensersatz und gegebenenfalls weitere Maßnahmen geprüft werden. Die rechtliche Ausgangslage hat sich durch die Rechtsprechung von EuGH und BGH für Verbraucher deutlich verbessert.

Unser Angebot für Betroffene

Dr. Stoll & Sauer bietet betroffenen Verbrauchern eine kostenlose Ersteinschätzung im DSGVO-Online-Check an. Die Kanzlei prüft, ob Ansprüche auf Schadensersatz nach Art. 82 DSGVO bestehen, welche Rechte auf Auskunft und Löschung geltend gemacht werden können und wie Betroffene auf den Verlust der Kontrolle über ihre personenbezogenen Daten sinnvoll reagieren sollten.

Erfolge von Dr. Stoll & Sauer in Datenschutzfällen

Dr. Stoll & Sauer hat in vergleichbaren Datenschutzkomplexen bereits Erfolge erzielt und führt Verfahren bundesweit:

• Landgericht München: Nach Angaben der Kanzlei wurden 3.000 Euro Schadensersatz für einen Betroffenen des Facebook-Datenlecks erstritten (Az. 47 O 461/24).
• Sammelklage Facebook-Datenleck: Der vzbv führt eine Verbandsklage gegen Meta; Betroffene können Ansprüche gebündelt verfolgen. Anwälte von Dr. Stoll & Sauer sind über eine Spezialgesellschaft an der Durchsetzung der Ansprüche in diesem Komplex beteiligt.
• Eine kostenlose Ersteinschätzung zu Datenschutzverstößen und Datenlecks bietet die Kanzlei im DSGVO-Online-Check an.