wenn es wirklich ein Sicherheitsrisiko darstellt:

Erst mal sind wir, so lange keine Anzeichen dafür vorliegen, dass die Datenbank illegal kopiert wurde, bei einem "potentiellen Risiko". Es geht also mit dem von mir vorgeschlagenen stillen Update nach dem Login. Muss aber zeitnah sein.

• Link anbieten um Passwort neu zu vergeben

Dann musst Du aber der Gefahr entgegen wirken, dass diese Funktion durch einen Dritten missbraucht wird. "Anderer Faktor", z.B. Identifizierung per Token (gemeinsames, individuelles, nicht erratbares Geheimnis) in einem Email an seine bekannte Adresse, welches er dann wieder eingeben muss. Das wäre jedenfalls der Standardweg.

Er meinte auch, in so einem Fall auch wenn der User keine Einwilligung gegeben hat, dürfte man ihm eine Mail schicken, da es hier um Sicherheit geht und diesem dem User nur zu gute kommt.

Sowas sagte ich doch schon in Bezug auf Art. 6 Absatz 1 Buchstabe c DSGVO. Es gibt im deutschen Recht auch das "Handeln ohne Auftrag" mit dem ein Schaden für den "Nichtauftraggeber" vermieden werden soll.