Thermomix Rezeptwelt Datenleck – Was Betroffene jetzt tun können?
Das Datenleck bei der Thermomix Rezeptwelt ereignete sich Ende Januar/Anfang Februar 2025. In diesem Zusammenhang wurden personenbezogene Daten von Dritten entwendet. Wie es zu dem Daten-Diebstahl kam ist noch unklar.
Nach Angabe von Vorwerk waren die Passwörter nicht betroffen, was eine gute Nachricht im Zusammenhang mit diesem Datenschutzvorfall ist. Generell ist es nach einem Datenleck immer empfehlenswert das dort hinterlegte Passwort zu ändern und, sofern der Fall, das gleiche Passwort bei anderen Diensten zu ändern. Idealerweise sollten Nutzer bei jedem Dienst ein anderes Passwort verwenden, damit es zu keinem Risiko kommen kann.
Dies hängt stark davon ab welche Daten Betroffene angegeben haben.
Nach unserem Verständnis waren folgende Daten verpflichtend:
Anrede
Name und Vorname
Straße
Postleitzahl
Ort
E-Mail
Thermomix-Modell
Die Angabe des Geburtsdatums war freiwillig, ebenso wie Angaben zur Telefon-Nummer, dem Land, den Kochkünsten, die Beziehung zu Vorwerk Thermomix, dem Besitz eines Cookidoo, seit wann man den Thermomix besitzt und eine Beschreibung der Nutzer über sich.
Mit den Pflicht-Angaben lassen sich leider bereits komplexe Phishing-Szenarien oder andere Betrugsversuche begehen. Im Folgenden dazu zwei fiktive(!) Beispiele:
Beispiel 1:
Sie erhalten an Ihre korrekte Adresse einen Brief oder eine E-Mail mit Ihrer korrekten Post-Adresse, der vorgibt von Vorwerk zu sein. Darin wird auf einen Produkt-Rückruf Ihres TM5 (Angabe aus der Rezeptwelt) hingewiesen. Um einen Austausch-Service zu buchen, sollen Sie eine Webseite besuchen auf der Sie weitere Angaben machen sollen, zum Beispiel als Sicherheit/Pfand eine Kreditkarte hinterlegen. Diese Daten gehen dann an die Kriminellen, welche sie für weitere Betrügerein verwenden.
Dies im Einzelfall von einer echten Nachricht von Vorwerk zu unterscheiden, dürfte enorm schwer werden.
Beispiel 2:
Sie erhalten einen Brief von einem Online-Händler mit einer Mahnung, da Sie eine bestellte Ware noch nicht bezahlt haben. Diese Bestellung hatte Ihre Rechnungsadresse, wurde sofern eingegeben, mit Ihrem Geburtsdatum verifiziert, wurde jedoch an kriminelle Dritte versandt. Sie müssen nun aufklären, wie es dazu kam, ggf. Anzeige erstatten und ein Mahnverfahren vermeiden.
Die Daten sind nun leider veröffentlicht und wieder die Kontrolle darüber zu erlangen, ist enorm schwer bis unmöglich.
Betroffene sollten daher die nächsten Jahre sehr wachsam sein, da Betrüger die Daten teilweise auch erst nach mehreren Jahren nutzen.
Betroffene können sich nach Art. 77 DSGVO bei der zuständigen Datenschutzaufsichtsbehörde beschweren. Dies dürfte im Fall Vorwerk das LDI Nordrhein-Westfalen sein. Ein Beschwerde-Formular, sowie weitere Informationen über Beschwerden finden Sie unter:
https://www.ldi.nrw.de/kontakt/ihre-beschwerde
Neben dem Anspruch auf Beschwerde bei einer Behörde, haben Betroffene ggf. Anspruch auf Schadenersatz nach Art. 82 DSGVO, sofern Vorwerk gegen die DSGVO verstoßen hat und dies zur Offenlegung der Daten geführt hat. Ob ein Verstoß vorliegt ist dabei von Gerichten zu klären, was mehrere Jahre in Anspruch nehmen dürfte.
Seit Ende 2024 gibt es eine erste Entscheidung des Bundesgerichtshofs dazu (VI ZR 10/24), welcher im Falle einer Offenlegung der Handy-Nummer einen Schadenersatz in Höhe von 100 EUR als angemessen erachtet hat. Der Schaden wurde laut BGH im Kontrollverlust gesehen, also darin, dass Betroffene nicht mehr frei entscheiden können wer Zugriff auf diese Telefon-Nummer hat.
Aufgrund der in diesem Fall betroffenen Daten gehen wir von einem Schadenersatz in Höhe von 300 – 650 EUR aus, je nachdem welche Daten im Einzelfall betroffen sind.
Hierfür gibt es mindestens drei Wege: