Guten Morgen zusammen, das ist jetzt erst einmal reine Spekulation aber vielleicht kann Hendrik das ja aufklären. E-Mail A): Es gibt eine E-Mail A) die Kunden erhalten bei denen keine Kompromittierung festgestellt werden konnte (z.B. Self Hosted weil Gambio da ja gar nicht prüfen könnte und Cloud Shops die vielleicht geprüft wurden). Dort muss ja keine Meldung an die Datenschutzbehörde gemacht werden und auch keine Kundenpasswörter zurückgesetzt werden (was ich mich eh frage wie das beim Cloud-Shop überhaupt möglich wäre). E-Mail B): Dan gibt es evtl. noch eine E-Mail B welche die Shopbetreiber erhalten bei denen eine Kompromittierung festgestellt wurde. D.h. bei diesen Kunden wurde festgestellt dass die Lücke ausgenutzt wurde. Wir das festgestellt wurde weiß ich natürlich nicht. Achtung: Alles reine Spekulation! Wenn Gambio diese beiden Mailvarianten nicht versendet hat dann ist E-Mail B nicht echt. E-Mail A habe ich selbst schon gesehen, E-Mail B nicht. @Hendrik M. (Gambio) bitte kläre doch die zurecht verunsicherte Gambio Gemeinde einmal kurz auf! Viele Grüße Walter
Das Statement gibt es hier: https://www.gambio.de/forum/threads...1-1-fuer-alle-versionen-ab-gambio-v4-0.52768/ Dort wird das Theme "Meldung an die Datenschutzbehörde" und "Passwörter der Kunden zurücksetzen" aber nicht behandelt. Achtung, keine Rechtsberatung! Vielleicht noch am Rande. Es gibt bestimmte Situationen in denen die Meldung an die Datenschutzbehörde zu erfolgen hat. Das muss immer individuell geprüft werden. Ebenso muss geprüft werden ob man verpflichtet ist den Kunden zu informieren und ob es notwendig ist die Kundenpasswörter zurückzusetzen. Beides ist nicht notwendig nur weil das Shopsystem eine Sicherheitslücke hat. Es müsste aber in jedem Fall erfolgen wenn personenbezogene Daten abgegriffen wurden. Und es gibt auch noch zig Situationen dazwischen. Viele Grüße Walter
Wie soll man, mit den bestehenden Bordmitteln eine mail an alle Kunden auf einmal schicken? Müssen wir nun jede Mailadresse einzeln eingeben, oder kann man da sofort an alle Kunden diese Mail schicken? Bitte um Info.... leider ist der Mailversand aus dem System bei Gambio ja immer noch sehr miserabel! glg. Mario
Genau das ist aber nicht wirklich bekannt, denn in den Mails heißt es "könnte". Wir wissen also nicht, ob unser Shop und unsere Kundendaten wirklich betroffen sind. Oder bedeutet, dass wir die ganzen Mails gestern Abend bekommen haben, das wir betroffen sind? Viele Grüße, Michaela (Cloudshop)
Ich habe die Meldung bereits gemacht und stehe jetzt vor dem Problem, 2000 Kunden zu informieren, dass die Passwörter zurückgesetzt werden sollen. Wie bitteschön, kann das aus dem Shop heraus gehen? Das Zeitfenster für diese Informationen an die Kunden ist auf etwa einen Tag begrenzt laut Datenschutzbehörde. Hat jemand Erfahrung mit Massen E-Mail Versand? Von Gambio erhielt ich nämlich auf meine Anfrage noch eine Mail mit einem passenden Vorschlag für einen Kundenbrief. wie bereits mitgeteilt, ist es zu einem Sicherheitsvorfall gekommen, bei dem Unbefugte Zugriff auf Kundendaten deines Shops erlangt haben könnten. Betroffen sind unter anderem verschlüsselte Passwörter von Endkundenkonten. Du bist nach Art. 34 DSGVO verpflichtet, alle betroffenen Endkunden über diesen Vorfall zu informieren. Bitte fordere deine Kunden auf, ihr Passwort zurückzusetzen, und informiere sie über den Vorfall sowie die möglichen Risiken.
wir haben die Meldung auch noch gestern Abend gemacht. Wie wir unsere Kunden informieren sollen, ist mir auch noch schleierhaft. Wir können natürlich das mit dem Newsletter-Programm machen, erreichen aber nur die KundInnen, die auch Newsletter haben wollen. Auch stellt sich die Frage, ob es datenschutzrechtlich in Ordnung ist, alle Kunden - eben auch die, die keine NL haben wollen - zu informieren. Ärgerlich sowas - da zieht man vor einiger Zeit in die Cloud und dann passiert genau das, was man damit vermeiden wollte.
Na das mit den Kunden Informieren, würde mich tatsächlich auch interessieren. Da muss es doch eine Möglichkeit/Modul oder eine Vorlage im System geben damit alle gleichzeitig angeschrieben werden können.
Wenn ihr die Datenschutzmeldung schon abgegeben habt, was habt ihr da reingeschrieben, wann und wie ihr eure Kunden angeschrieben habt? Ich weiß nämlich auch noch nicht, wie ich die Mail versenden soll und das Datum soll man in der Meldung aber angeben. Hat da schon irgendjemand eine Lösung gefunden? LG, Michaela (Cloudshop)
frage mich auch, wie lange man Zeit hat, die KundInnen zu informieren. Gambio hat zwar eine Mustervorlage geschickt, nicht gesagt, wie schnell die Info rau muss. Im Laufe des heutigen Tages ist die "Durchführung der Wiederherstellung" gemacht und das Shop ist irgendwann 60 Minuten nicht erreichbar. Dabei werden, wenn ich das richtig verstanden habe, alle Passwörter zurückgesetzt. Bevor das passiert ist, hat es wohl wenig Sinn, den KundInnen eine Info zukommen zu lassen...
wir haben das so formuliert. Den Punkt mit Info an Kunden haben wir noch weggelassen, da wir das ja nicht wissen, wann wir das machen. Ging bei uns an die österreichische Datenschutzbehörde. Betreff: Vorläufige Meldung einer Datenschutzverletzung gemäß Art. 33 DSGVO Sehr geehrte Damen und Herren, hiermit melden wir als datenschutzrechtlich Verantwortlicher unserer Organisation einen Sicherheitsvorfall, der unseren über Gambio betriebenen Cloud-Shop betrifft. 1. Art der Datenschutzverletzung: Zwischen dem 23. und 26. März 2026 kam es zu einem unbefugten Zugriff auf personenbezogene Daten unserer Endkunden auf der Infrastruktur von Gambio. Betroffen sind: Name und Adressdaten E-Mail-Adressen Verschlüsselte Passwörter 2. Ungefähre Zahl der betroffenen Personen und Datensätze: Die genaue Anzahl wird derzeit noch ermittelt. Nach aktuellem Stand sind mehrere Datensätze betroffen. Wir werden die Behörde umgehend informieren, sobald belastbare Zahlen vorliegen. 3. Kontaktdaten des Datenschutzbeauftragten: xxxxxxx 4. Wahrscheinliche Folgen des Vorfalls: Die unbefugte Einsicht in personenbezogene Kundendaten kann zu Phishing-Angriffen, Identitätsmissbrauch oder unerwünschter Kontaktaufnahme führen. Die Passwörter sind verschlüsselt, ein direkter Zugriff auf Konten ist damit nach aktuellem Stand nicht möglich. 5. Bereits ergriffene oder geplante Maßnahmen: Prüfung und Verstärkung der Sicherheitsmaßnahmen im Shop Nachmeldung an die Behörde mit aktualisierten Daten, sobald verfügbar Begründung der verspäteten Meldung: Die Meldung erfolgt verspätet, da wir die Information über den Vorfall von Gambio erst heute am 27.03.2026, 18:14 erhalten haben. Wir bitten um Bestätigung des Eingangs dieser Meldung und stehen für Rückfragen jederzeit zur Verfügung.
Bis jetzt ist bei mir nur der Shop zurückgesetzt und mein Passwort wieder von mir neu vergeben worden. Der Auftrag für die Kundenpasswörter aus der Mail ist noch nicht bearbeitet. Der Support, sofern er denn heute gut besetzt ist, hat wahrscheinlich alle Hände voll zu tun. Ich gehe davon aus, dass unwahrscheinlich viele Tickets geöffnet wurde, da wie ich finde, viele Fragen offen sind. Aber man muss in der Datenschutzmeldung ja ein Datum angeben und das kann ich ja nicht wirklich, wenn ich gar nicht weiß, wann Gambio die Kundendaten zurücksetzt. Ich möchte die Meldung aber natürlich so schnell wie möglich versenden. Bin heute morgen erst drauf gestoßen, dass die Mails tatsächlich echt sind und habe sie gestern Abend nicht wirklich beachtet.
Ah okay, vielen Dank für das zur Verfügung stellen. Ich habe mich mit dem merkwürdigen Formular der Datenschutzbehörde gequält. Wenn du erlaubst, würde ich den Text von dir so übernehmen, natürlich mit meinen Daten angepasst. Oh, sehe gerade, dass du das an die österreichische Datenschutzbehörde gemeldet hast. Dann kann ich das für uns in DE wohl nicht so pauschal übernehmen. Bei uns wird wohl das Formular fällig sein. Oder habe andere in DE auch eine pauschale Mail gesendet? LG, Michaela (Cloudshop)
wenn das für die DE Behörde geht, kannst es natürlich übernehmen. Ich habe das vorformuliert und dann noch von Chatgpt überarbeiten lassen. Bin ja kein Jurist
Vielen lieben Dank. Leider befürchte ich, dass wir in DE das auf deren Seite zur Verfügung gestellte Formular nehmen müssen. Vielleicht kann ja noch jemand aus DE mitteilen, ob er auch pauschal eine Meldung (ähnlich deiner) abgegeben hat. Wobei ich glaube, dass im Moment alle ziemlich beschäftigt sind.
Ich habe ca. eine Stunde gebraucht für exakte Angaben aus dem von Gambio zur Verfügung gestelltem Material. Bei den Fragen, die du nicht beantworten kannst, kann eine pauschale Formulierung verwendet werden und dass die Daten baldmöglichst nachgereicht werden. Die Information der Kunden soll zeitnah erfolgen, das Datum kann ausgewählt werden, kann auch in der Zukunft sein, sollte aber nicht weiter als in 1-2 Tagen sein. Anfangs will das Formular den Zeitpunkt des Vorfalls (23.-26.03.) und den Zeitpunkt des Bekanntwerdens wissen. Ich habe KI gefragt und die meint, dass wegen Einhaltung der 72 Stunden das Datum ausschlaggebend ist, an dem mir der Vofall bekannt geworden ist, da ich ja die meldende Person bin. Also gestern, 27.03.
https://www.datenschutzkonferenz-online.de/datenschutzaufsichtsbehoerden.html Dort kannst du dein Bundesland auswählen und eine Meldung einreichen
Selfhosted "Wir empfehlen zusätzlich, euren Hosting-Anbieter zu kontaktieren, um zu prüfen, ob euer Shop von der Schwachstelle betroffen ist." Nochmal die Frage: was soll man dem Hosting-Anbieter mitteilen, damit dort ein Kontrolle stattfinden kann? Bzw. kann man selbst eine Kontrolle im Dateisystem durchführen? Falls ja, wonach muss man suchen?
Und genau da hat die Behörde meines Bundeslandes ein schönes Formular aus dem Jahre 2018, welches ich natürlich ausdrucken unterschreiben einscannen und absenden soll. DE eben.
Hallo SylviaW, da du meine Nachricht zitiert hast, gehe ich davon aus, dass du mir damit etwas mitteilen möchtest. Leider bin ich mir nicht sicher was. Könntest du darauf noch einmal eingehen? Sorry, wenn ich nachfrage, aber im Moment ...