Der Betreiber einer Online-Versandapotheke volksversand.de hat seine Kundschaft über einen Datenschutzvorfall informiert. Es sind wohl unbekannte Angreifer in das IT-System des Unternehmens eingestiegen und konnten auf Daten von Kunden zugreifen. Ein betroffener Kunde hat mich per Mail benachrichtigt.
Anzeige
Bei der Seite volksversand.de handelt es sich um die Shopseite eines Apothekenversands, siehe auch den nachfolgenden Screenshot des Internetauftritts.
Der Anbieter war mir unbekannt (ist wohl eher Nische, aber es gibt eine europäische Zulassung für den Apothekenversand). Der Firmensitz der Geschäftsführung liegt im EU-Ausland, rezeptpflichtige Medikamente können von dort wohl nicht bezogen werden.
Ein Blog-Leser ist (oder war) Kunde dort und schrieb mir die Tage per Mail, dass es einen Datenschutzvorfall beim Anbieter gegeben habe. Er wurde vom Betreiber per Mail über diese Vorfall informiert. Hier der Text der Benachrichtigung, die mir vorliegt (danke an den Leser).
Anzeige
Von: info@volksversand.de <info@volksversand.de>
Gesendet: Donnerstag, 22. Mai 2025 11:28
An: *****
Betreff: Mitteilung nach Artikel 34 Datenschutzgrundverordnung (DSGVO)Sehr geehrter Herr ***,
leider gab es einen unbefugten Zugriff auf unseren Webshop und damit auch auf dort vorhandene Dateien. Dabei besteht die Möglichkeit, dass Kundendaten wie Name, Adresse und E-Mailadresse in fremde Hände gelangt sind.
Wir konnten den unbefugten Zugriff in unsere Systeme nachvollziehen und haben umgehend dafür gesorgt, dass sich dieser Vorfall nicht wiederholen kann. Wir haben den Vorfall auch an die zuständige Datenschutzbehörde gemeldet.
Bank- und Zahlungsdaten sowie persönliche Passwörter sind von diesem Vorfall nicht betroffen, so dass es nicht erforderlich ist, diese Daten in unserem Shop zu ändern.
Da aber möglicherweise Adressdaten ausgelesen werden konnten, besteht ein niedriges Risiko, dass unbefugte E-Mails versendet werden könnten, die Sie zu unvorsichtigem Verhalten verleiten sollen.
Insbesondere könnten E-Mails den Anschein erwecken, sie stammten von der Versandapotheke. Seien Sie insbesondere misstrauisch, wenn ein Absender Sie auffordern sollte, Ihr Passwort oder andere sensible Daten anzugeben, oder Sie aufgefordert werden, auf einen Link zu klicken.
Wenn Sie unsicher sind, ob eine E-Mail von der Versandapotheke stammt, dann antworten Sie nicht darauf, sondern setzen Sie sich mit unserem Kundenservice in Verbindung unter info@volksversand.de oder telefonisch unter 0800 588 8525 (kostenlos aus allen deutschen Netzen).
Wenn Sie weitere Fragen zum Schutz Ihrer Daten haben, dann schreiben Sie bitte an datenschutz@volksversand.de.
Wir möchten Sie aufrichtig für etwaige Unannehmlichkeiten um Entschuldigung bitten. Der Schutz Ihrer Daten hat für uns höchste Priorität.
Wir danken für Ihr Vertrauen!
Ihre Volksversand Versandapotheke
Service
Tel.: 0800 – 588 8525 (kostenlos aus allen dt. Netzen)
Fax: 0800 – 138 3384E-Mail: info@volksversand.de
volksversand.de
Persönliche Beratung: 0800 – 455 6552 (kostenlos aus allen deutschen Netzen, werktags von 08.00-16.00 Uhr)
Impressum
Volksversand Versandapotheke s.r.o.,
Tanvaldská 345, Liberec 30, PLZ 463 11, Tschechische Republik
Identifikationsnummer (IČ): 276 05 060 | Steuernummer (DIČ): CZ 276 05 060
Geschäftsführer: Roland Kulms
Anzeige
Volksversand Versandapotheke s.r.o. (vormals Rockford s.r.o.)
Tanvaldská 345, CZ-46311 Liberec XXX-Vratislavice nad Nisou
Gegenstand:
46.46
Großhandel mit pharmazeutischen, medizinischen und orthopädischen Erzeugnissen
46.90
Großhandel ohne ausgeprägten Schwerpunkt
47.73
Apotheken
47.78
Sonstiger Einzelhandel in Verkaufsräumen (ohne Antiquitäten und Gebrauchtwaren)
47.99
Sonstiger Einzelhandel, nicht in Verkaufsräumen, an Verkaufsständen oder auf
Märkten
52
Lagerei sowie Erbringung von sonstigen Dienstleistungen für den Verkehr
68.20
Vermietung, Verpachtung von eigenen oder geleasten Grundstücken, Gebäuden und Wohnungen
73.1
Werbung
___________________________________________________
Ein Konglomerat aus Beteiligungs- und Verwaltungsgesellschaften inklusive Firmen für Nahrungsergänzungskram und vormals wohl auch für Werkzeug bis hin zu Werbeagenturen, die alle bis auf die Versandapotheke in Tschechien (mit natürlich echt deutschem Namen und ***), nicht nur in Deutschland sitzen, sondern sich auch teilweise dieselbe Adresse teilen und die Geschäftsführungen gerne mal 'Bäumchen wechsel dich' spielen. Sehr vertrauenserweckend…
Am Besten finde ich übrigens:
MEDIBOND GmbH, Zittau
Gegenstand:
Handel/Großhandel mit Gütern des täglichen Bedarfs einschließlich pharmazeutischer Erzeugnisse sowie alle weiteren Erzeugnisse, die zum Warenbestand von Apotheken, Drogerien und Parfümerien gehören.
Vormals
Westfalia Solar Energy GmbH xD
___________________________________________________
https://www.northdata.de/Volksversand%20Versandapotheke%20s%C2%B7r%C2%B7o%C2%B7,%20Liberec%20XXX-Vratislavice%20nad%20Nisou/ICO%2027605060
https://www.northdata.de/Volksversand%20GmbH,%20Hagen/HRB%207627
https://www.northdata.de/MEDIBOND%20GmbH,%20Zittau/Amtsgericht%20Dresden%20HRB%2027549
usw.
–
GB: Danke für den Hinweis auf die Northdata-Auszüge. Aber diese haben nichts mit dem DSGVO-Vorfall zu tun – ob man da was bzgl. des DSGVO-Vorfalls aus der Firmenhistorie schließen kann, ist offen.
Eine bestimmte Angabe in obigem Text habe ich zensiert, da als unpassend erachtet.
Der Apothekenversand hat eine EU-Zulassung, ist also rechtlich abgesichert. Ob man dort bestellt, muss jeder selbst wissen – genau so wie bei Doc Morris oder anderen Online-Versendern, die auch ihre DSGVO-und Sicherheitsvorfälle hatte und teilweise aus dem europäischen Ausland geführt werden.
Den Hinweis auf eine Onion-URL habe ich gelöscht, da nicht zum Thema beitragend. Bitte künftig vor dem Posten über bestimmte Formulierungen nachdenken und ggf. weg lassen – danke.
"Da aber möglicherweise Adressdaten ausgelesen werden konnten, besteht ein niedriges Risiko, dass unbefugte E-Mails versendet werden könnten, die Sie zu unvorsichtigem Verhalten verleiten sollen."
Das ist alles ja gar nicht so harmlos könnte man meinen, wenn man diese E-Mail der Apotheke liest. Keinerlei Unrechtsbewusstsein! "Ist halt passiert, müsst ihr aufpassen, nicht meine Schuld *rülps*"
Gruselig, wie da mit persönlichen Daten umgegangen wird. Einfach nur großen Bogen machen!
Dieses reflexartige, "Der Anbieter ist schuld" ist einigermaßen anstrengend.
Zuerst einmal ist der Angreifer schuld und niemand sonst.
Danach kann man schauen ob der Anbieter es dem Angreifer zu einfach gemacht hat, was aber nichts daran ändert, dass die Schuld noch immer beim Angreifer liegt.
Schuld ist fast immer der Betreiber der Systeme weil halt nicht ordentlich abgesichert oder gearbeitet wird! Wenn ein Angreifer eine Lücke ausnutzt hat m.E. immer noch der Betreiber schuld, denn er hätte entsprechend handeln müssen. Wird wohl an der Stelle eher kein 0-day Exploit gewesen sein! Ich finde es auch immer schön wenn vom Cyberangriff gesprochen wird, aber nur wiedermal irgendein Depp auf den Link in der Phishing Mail geklickt hat.
Wieso reflexartig? Wenn die ihre gammelige Site nicht ordentlich absichern können. Wird wieder auf die Standarddinge hinauslaufen worüber Daten abgezogen wurden.
Der Punkt ist, wir wissen es nicht.
Es ist technisch einfach nicht möglich, ein System, dass aus dem Netz erreichbar ist zu 100% abzusichern.
Ob der Betreiber hier schlecht gearbeitet hat oder nicht, ist nirgends erkennbar.
Aber trotzdem heißt es immer der Anbieter wäre schuld und das ist anstrengend.
Oh man, ich bin diese ständigen Diskussionen und Schuldzuweisungen von Dritten, die es vermeintlich immer besser wissen, echt satt. Erstmal worüber reden wir?! Adressdaten – richtig…. WOW! Wenn man sich mal versinnbildlicht, was ein Großteil der Nutzer im Internet an Daten freiwillig von sich, gerade durch Social Media, preisgibt, dann sollte der Aufschrei wenn Adressdaten irgendwo abwandern relativ leise sein. Es ist nun mal defacto so, dass wir in Zeiten leben, wo es die 100%ige Sicherheit einfach nicht mehr gibt. Da kann man seine Systeme so gut absichern wie man will, es ist einfach so. Das ist im realen Leben genauso, ihr könnt eure Firmengebäude, privaten Wohnhäuser und und und versuchen so sicher wie möglich zu machen – Es wird immer einen Einbrecher geben, der wenn das Interesse für Ihn groß genug ist, einen Weg finden wird hinein zu kommen. Wer Online-Angebote in Anspruch nimmt muss sich einfach der Tatsache im klaren sein, dass Daten ungewollt abfließen können, wem das Risiko zu groß ist der sollte die Finger davon lassen. Man frage sich auch woher diese ganzen Ansprüche immer kommen – Solang man irgendwo Güter günstiger im Internet nachgeworfen bekommt ist alles super und toll und Friede Freude Eierkuchen aber wehe da passiert was mit den Adressdaten…. Dieses ständige Finger Pointing und Besserwisser-Gehabe führt einfach zu nichts sachdienlichem, es verbreitet einfach nur Hetze.
Der Kern deines Kommentars: Wer Daten im Internet angibt, muss damit rechnen, dass diese abfließen können, lässt sich unterschreiben. Es ist aber so, dass es inzwischen durchaus (nicht nur Einzel-) Fälle gibt, wo persönliche Daten aus diversen Quellen bei einer Stelle abfließen. Organisationen und Unternehmen haben schlicht sicherzustellen, dass die Daten bestmöglich abgesichert sind. Kommt es zu einem Vorfall, ist eine Meldung an die Datenschutzaufsicht erforderlich – und diese hat dann über Sanktionsmöglichkeiten zu befinden. Unabhängig davon bleibt Betroffenen die Möglichkeit einer Zivilklage auf Entschädigung.
Das ist der Kern, von daher ist der Großteil deines Kommentars WhatAbouttismus – und der Begriff "Hetze" im Kontext passt überhaupt nicht. Ich lasse den Kommentar aber mal stehen.
Ja das steht außer Frage, dass die jeweiligen Betreiber dafür Sorge zu tragen haben, dass Daten nicht unfreiwillig und durch Leichtsinn verursacht abfließen können. Was ich aber immer wieder feststelle, ob es hier im Forum, oder auch in X-beliebigen anderen Foren ist. Viele der kommentierenden Nutzer scheint es grundsätzlich besser zu Wissen, man weiß auch immer genau um die Umstände die zum Versagen führten und in Sachen Präventivmaßnahmen macht ihnen auch keiner etwas vor….. Solang….. Ja solang man nicht selber einmal als "Betreiber" betroffen ist. Das kann mittlerweile schneller gehen, als einem lieb ist. Und dann?! Ja und dann verstummt die eigene Stimme, denn das hätte man sich beim aller liebsten nicht ausmalen können. Ich schreibe das so lappidar runter, da ich selber beruflich für die Sicherheit in unserem Unternehmen zuständig bin und dieses ganze Thema nicht einfach und trivial zu handhaben ist. Ich versuche mit meinem Team Herr der Lage zu bleiben und wir tuen echt unser Möglichstes präventiv zu handeln – Ich muss mir da aber auch nichts vormachen, bei gut 1000 Kollegen, die einen PC Arbeitsplatz nutzen, ist alleine dort schon ein gewisser Einfallsvektor gegeben, den man nur schwer vollumfänglich im Zaume halten kann. Am Ende des Tages muss man ein gutes Gewissen haben das Richtige zu tun und das Restrisiko so klein halten wie nur möglich. Nachtrag zum Wort Hetze – Hetze, so sollten Sie wissen ist eine Form von "Stimmung machen". Wenn also Leute sich hinstellen und andere diskreditieren, da sie der Meinung sind Dinge besser zu Wissen als der Betroffene "Verursacher" selbst ohne selbst dabei gewesen zu sein geschweige denn die kompletten Umstände zu kennen, dann ist das aus meiner Sicht Hetze. Das klingt vielleicht krass aber dennoch erscheint es mir weder falsch noch unangebracht im Kontext.
Bin zu 100% bei dir.
Ein einfacher Weg ist das solche Daten nicht im Klartext gespeichert werden! Personenbezogene Daten haben verschlüsselt zu sein! Dann ist ein Einbruch und absaugen auch erstmal unkritisch!
Außerdem kann man die Hardware welche solche Daten abrufen darf einschränken es ist zum Beispiel nicht notwendig das der Account der Klofrau auf Kundendaten zugriff hat (also jetzt mal extra provokant ausgedrückt)
Und sowas kann man überwachen und entsprechend automatisiert eingreifen wenn es geschieht! Ebenso alles was ausserhalb des Firmennetzwerk fließt…
das kleine Einmal Eins der IT Sicherheit!
Mir fällt dazu nur ein:
…Sicherheit?
Ach, du meinst wohl dieses aufgrund von globalen Naturgesetzen utopische und daher völlig überschätzte sowie falsch evaluierte, aber dennoch überall forciert suggerierte Virtualkonstrukt?! 🤪
Datenschutzvorfall im alten Jahrtausend mit dem Telefonbuch mit für JEDEN frei "abgreifbaren" Adressdaten wär' doch bestimmt interessant gewesen. 🤷♂️
Ein Angreifer kann nur eindringen wenn da jemand geschlampt hat!
Der Anbieter ist immer mitschuldig immer!
Da der Anbieter ja immer schuld ist…..erklärst du / Sie mir sicherlich wie eine Absicherung gegen eine bis dato unbekannte Lücke erfolgen kann?
(Außer den Dienst gar nicht anzubieten?)
Wir müssen hier schon unterscheiden, wer welche "Schuld" hat. Natürlich ist der Angreifer schuldig, schließlich hat er sich auf illegale Weise Zugang in ein fremdes System verschafft.
Auf der anderen Seite hat der Betreiber die Pflicht die ihm anvertrauten personenbezogenen Daten seiner Kunden angemessen vor fremden Zugriffen zu schützen. Hat er offenbar nicht ausreichend gemacht, also ist er dieses Versäumnisses schuldig.
Generell bin ich da bei dir / ihnen.
Die Frage ist für mich was ausreichend ist.
Es handelt sich, soweit ich es verstehe nicht um wirklich kritische Daten.
Falls der Anbieter also korrekt konfiguriert und gepatched hatte sehe ich das als ausreichend an.
da wurden Adressdaten (also personenbezogene Daten) unverschlüsselt abgelegt! Macht man nicht! DSGVO!
**GB: Der Kommentar wurde von mir gelöscht, da die Behauptungen nicht belegt wurden und schnell auf Hetze hinauslaufen, der Sache an sich auch nicht dienlich sind. Der Anbieter hat eine Zulassung als Apotheker – und am Ende bleibt unter dem Strich die Information über den DSGVO-Vorfall. Ich werde daher sämtliche Kommentare, die nichts weiterführendes zum Thema beitragen, löschen. Danke für euer Verständnis.
wenn ich einer Firma meine Daten anvertrauen gehe ich davon aus das auf meine Daten kein Dritter Zugriff hat dann wird wohl am falschen Ende gespart
Kunden bekommen unerwünschte Mails Anrufe und werden ständig durch Werbung belästigt Weil Daten gestohlen wurden die nicht richtig abgesichert wurden
Und was schlussfolgern wir daraus? Meines Wissens wurde niemand gezwungen, bei diesem Anbieter zu bestellen. Es wird auch niemand zu einem Konto auf Facebook gezwungen. Ob "am falschen Ende gespart wurde" wissen wir nicht.
Kluge Leute überlegen, wo sie welche Daten angeben und verwenden u.a. auch Mail-Aliase, die notfalls bei einem Vorfall deaktiviert werden können – dann laufen SPAM-Mails ins Leere. Ob man Telefonnummern für den Online-Versand angeben muss, weiß ich bei diesem Anbieter nicht.
Aber zu "unerwünschten Anrufen": Ich muss eine Telefonnummer im Impressum des Blogs angeben – stetige Quelle für Cold Calls. Deutsche Abrufer werden der Bundesnetzagentur gemeldet, ausländische und anonyme Anrufer nicht angenommen (es läuft ein Anrufbeantworter).
Ich habe inzwischen die Kommentierung gesperrt und einiges gelöscht, da die Diskussion entgleitet. Ziel des Beitrags war über einen DSGVO- bzw. Sicherheitsvorfall zu informieren. Inzwischen dreht sich die Diskussion um "Schuld oder nicht Schuld" des Anbieters (wäre tolerabel, ist aber mangels Detailwissen nicht zielführend – Verantwortlich ist der Anbieter bei einem Vorfall immer) samt Zuweisungen "völkischer" Art, die hier nichts zu suchen haben.