Der Fachhändler Calumet informiert auf der eigenen Webseite über ein Datenleck bei einem Drittanbieter. Die Lücke wurde erfolgreich geschlossen, Betroffene wurden bereits informiert.
“Wir möchten darüber informieren, dass ein unbefugter Dritter kurzzeitig eingeschränkten Zugriff auf ein von uns genutztes System eines Drittanbieters erlangt hat. Es besteht daher die Möglichkeit, dass einige Kontaktdaten von einem Datenleck betroffen waren”, schreibt Calumet auf der eigenen Webseite.
Die gute Nachricht: Die Lücke wurde erfolgreich geschlossen und es waren keine sensiblen Daten wie wie Passwörter, Kreditkartendaten oder Kaufinformationen betroffen. Es ging vor allem um E-Mail-Adressen und Namen.
Wer von dem Datenleck betroffen war, wurde bis gestern (10. Januar 2026) persönlich von Calumet über die hinterlegte E-Mail-Adresse informiert. Außerdem hat der Fachhändler zusätzliche Maßnahmen ergriffen, um den Schutz der gespeicherten Daten weiter zu erhöhen.
via: Heise
Das ist ein klassischer Verstoß gegen die DSGVO, die ja überall so hoch angepriesen wird. An wen sollen den nun die Schadenersatzansprüche gerichtet werden – an den Drittanbieter?
Das ist kein klassischer Verstoß gegen die DSGVO, die DSGVO verbietet ja nicht pauschal die Weitergabe von Kundendaten. Teilweise ist die Weitergabe zwingend zur Vertragserfüllung notwendig (Versanddienstleister, Zahlungsdienstleister, IT-Dienstleister), außerdem können Kunden z. B. freiwillig der Weitergabe ihrer Daten zu Marketingzwecken zustimmen. Im Falle von Calumet kannst du alle Details in deren Datenschutzerklärung nachlesen.
Wenn du zu den Betroffenen gehörst und von Calumet angeschrieben wurdest, würde ich erstmal den Dialog mit Calumet suchen. Falls du tatsächlich Schadensersatzansprüche prüfen lassen möchtest, solltest du dich an einen Anwalt wenden.
Es handelt sich sehr wohl um einen Verstoß – ob dieser nun klassisch ist oder speziell sei mal dahingestellt. Die Weitergabe ist natürlich nicht der verstoß, sondern das offenlegen personenbezogener Daten für unbefugte. Ob dies nun absichtlich oder aufgrund unzureichender Sicherheitsmechanismen geschieht spielt dabei keine Rolle.
Fakt ist, dass dies meldepflichtig gegenüber der Datenschutzaufsichtsbehörde ist (Artikel 33 DSGVO) und eben auch eine Informationspflicht gegenüber dem betroffenem Kunden besteht – dem wurde ja offensichtlich auch nachgegangen.
Dann habe ich dich falsch verstanden, ich dachte du beziehst dich auf die Weitergabe der Daten. Wie der Zugriff eines Unbefugten auf das System eines Drittanbieters aus Sicht der DSGVO in diesem speziellen Fall einzuordnen ist, übersteigt mein Wissen.
Bei mir kamen schon die ersten Versuche rein, meine Daten auf vermeintlichen Calumet Seiten anzugeben.
Wenigstens konnte ich noch schnell, in Alfreds Namen, eine Hasselblad bestellen 😎
… gemein … )(;:-()