Der europäische Fitness-Riese Basic-Fit meldet einen schweren Datenschutzvorfall, der vor allem Kunden in den Niederlanden betrifft. Die gestohlenen Informationen umfassen sensible Bankverbindungen.
Hoofddorp – Ein massiver Datenleck beim Fitnessstudio-Kettenbetreiber Basic-Fit hat die sensiblen Daten von rund 200.000 Mitgliedern offengelegt. Das Unternehmen mit Sitz in den Niederlanden bestätigte am heutigen Montag, dass der Vorfall insbesondere Kundendaten aus seinem Heimatmarkt betrifft. Kompromittiert wurden laut ersten Untersuchungen vollständige Namen, Kontaktdaten und – besonders kritisch – die hinterlegten Bankkontonummern für die monatliche Abbuchung der Mitgliedsbeiträge.
Der aktuelle Vorfall zeigt erneut, wie schnell sensible Finanzdaten in falsche Hände geraten können – besonders beim Online-Banking und digitalen Zahlungen per Smartphone ist Vorsicht geboten. Dieser kostenlose Ratgeber erklärt Ihnen die 5 wichtigsten Schutzmaßnahmen, um Ihr Gerät und Ihre Bankdaten effektiv vor Hackern zu sichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Basic-Fit, das europaweit über 1.500 Studios betreibt, arbeitet nun mit Cybersicherheitsexperten und Strafverfolgungsbehörden zusammen. Das Ziel: Die Schwachstelle zu identifizieren und den Schaden einzudämmen. Die offengelegten Bankdaten machen die betroffenen Mitglieder zu leichten Zielen für betrügerische Phishing-Angriffe und Identitätsdiebstahl.
Kritik an Sicherheitsstandards nach Policy-Update
Besonders brisant: Der Vorfall folgt auf ein kürzliches Update der Datenschutzrichtlinien des Unternehmens. Erst im Februar 2026 hatte Basic-Fit seine Privacy Policy überarbeitet, um mehr Transparenz über die Verarbeitung von Mitgliederdaten – einschließlich IBANs und biometrischer Daten von Körperanalysegeräten – zu schaffen. Während das Unternehmen betont, dass Körperanalysedaten separat und pseudonymisiert gespeichert werden, zeigt der aktuelle Hack: Das primäre Mitgliederverwaltungssystem war angreifbar.
Datenschutzexperten kritisieren scharf, dass derart sensible Finanzdaten offenbar nicht mit höchsten Sicherheitsstandards geschützt waren. Die Kombination aus Bankverbindung und persönlichen Kontaktdaten ermöglicht es Kriminellen, täuschend echte Betrugsnachrichten zu verschicken, die als offizielle Mitteilungen von Basic-Fit oder der Hausbank getarnt sind.
Niederlande im Fadenkreuz von Cyberangriffen
Der Fall Basic-Fit ist kein Einzelfall. Seit Jahresbeginn häufen sich in den Niederlanden die großangelegten Datenschutzpannen. Erst im Februar traf es den Telekommunikationsanbieter Odido (ehemals T-Mobile Netherlands), bei dem Daten von über sechs Millionen Kunden abflossen. Auch der Gesundheits-IT-Dienstleister Chipsoft wurde im Frühjahr Opfer eines Ransomware-Angriffs, der das niederländische Gesundheitssystem lähmte.
Sogar Behörden blieben nicht verschont: Sowohl die niederländische Strafvollzugsbehörde als auch die Datenschutzaufsicht selbst meldeten in den letzten Monaten kleinere interne Datenlecks. Experten sehen einen Trend: Cyberkriminelle zielen gezielt auf hochdigitalisierte Regionen mit zentralisierten Kundendatenbanken ab. Die Basic-Fit-Panne könnte ein weiterer Weckruf für Unternehmen sein, die mit wiederkehrenden Finanztransaktionen arbeiten.
Vorbelastet: Basic-Fit und rechtliche Auseinandersetzungen
Die aktuelle Krise trifft Basic-Fit in einer rechtlich sensiblen Phase. Bereits im Oktober 2024 verurteilte das Bezirksgericht Amsterdam das Unternehmen wegen irreführender Werbung und unlauterer Geschäftspraktiken. Das Gericht beanstandete damals eine undurchsichtige Preispolitik und mehrere als „unangemessen belastend“ eingestufte Klauseln in den Allgemeinen Geschäftsbedingungen.
Während es in diesem früheren Verfahren um Verbrauchertransparenz und nicht um Cybersicherheit ging, etablierte das Urteil einen Präzedenzfall für die regulatorische Überwachung der Unternehmenspolitik. Nun könnte die niederländische Datenschutzbehörde (Autoriteit Persoonsgevens) prüfen, ob Basic-Fit seinen Pflichten aus der EU-Datenschutz-Grundverordnung (DSGVO) nachkam. Im Fokus steht die Frage, ob „Stand der Technik“-Sicherheitsmaßnahmen für den Schutz der Bankdaten implementiert waren und ob das Unternehmen angemessen auf die Entdeckung des Lecks reagierte. Bei Verstößen drohen hohe Geldstrafen.
Da Datenpannen wie bei Basic-Fit oft für gezieltes Phishing genutzt werden, ist der Schutz Ihrer Online-Konten wichtiger denn je. Erfahren Sie in diesem Gratis-Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei WhatsApp, Amazon und Co. ohne unsichere Passwörter absichern. Kostenlosen Report zur passwortlosen Sicherheit anfordern
Was Betroffene jetzt tun sollten
Basic-Fit rät allen betroffenen Mitgliedern in den Niederlanden dringend, ihre Bankauszüge genau auf verdächtige Transaktionen zu überprüfen. Zudem warnt das Unternehmen vor betrügerischen Anrufen, E-Mails oder SMS, die vorgeben, von Basic-Fit oder Bankinstituten zu stammen und weitere persönliche Daten oder Passwort-Zurücksetzungen verlangen.
Der Betrieb in den Studios läuft derweil weiter. Intern führen IT-Forensiker eine genaue Analyse der betroffenen Systeme durch. Der Vorfall dürfte die Webatte über sicherere Zahlungsmethoden in der Fitnessbranche neu entfachen. Tokenisierte Lösungen, bei denen keine echten Kontodaten auf Unternehmensservern gespeichert werden, könnten an Bedeutung gewinnen.
In den kommenden Wochen muss Basic-Fit der Aufsichtsbehörde detaillierte Angaben zum Angriffsverlauf und zu ergriffenen Gegenmaßnahmen vorlegen. Nach dem Odido-Leck könnte dieser erneute Großvorfall die gesetzgeberischen Diskussionen in den Niederlanden über verbindliche Sicherheitsstandards für Unternehmen mit sensiblen Finanzdaten beschleunigen. Für Basic-Fit verschiebt sich der Fokus nun vom expansiven Wachstum hin zum mühsamen Wiederaufbau des digitalen Vertrauens bei 200.000 verunsicherten Kunden.
