Ein jüngster Sicherheitsvorfall bei Adidas macht erneut deutlich, wie verwundbar selbst global agierende Marken gegenüber Cyberangriffen sind. Am 23.05.2025 hat das Mode-Unternehmen bekannt gegeben, dass bei dem Adidas-Datenleck Kundendaten gestohlen worden sein sollen. Für Unternehmen ergibt sich daraus die dringende Notwendigkeit, eigene Sicherheits- und Kontrollmaßnahmen auf den Prüfstand zu stellen, insbesondere dann, wenn externe Dienstleister mit der Verarbeitung personenbezogener Daten betraut sind.
Was über den Vorfall bekannt ist
Laut der offiziellen Stellungnahme hat eine „nicht autorisierte, externe Partei“ durch einen beauftragten Kundendienstanbieter Zugriff auf Kundendaten erhalten. Unklar ist bislang, wie genau die Sicherheitslücke zustande kam und wie viele und welche Personen und Daten konkret betroffen sind. Das Unternehmen betonte in seiner Stellungnahme allerdings, dass keine Passwörter oder Zahlungsinformationen abgeflossen seien. Die entwendeten Datensätze beschränken sich demnach vorwiegend auf Kontaktinformationen von Kunden, die sich in der Vergangenheit an den Adidas-Kundendienst gewendet haben.
Adidas hat nach eigenen Angaben unmittelbar eine Untersuchung gestartet und IT-Sicherheitsexperten hinzugezogen. Man habe umgehend Maßnahmen ergriffen, „um den Vorfall zu begrenzen“. Betroffene Personen ebenso wie Datenschutz- und Strafverfolgungsbehörden will Adidas informieren. Offen ist bislang, wie es zu dem Vorfall kommen konnte.
Datenschutzrechtliche Implikationen
Für konkret betroffene Individuen gilt nun besondere Achtsamkeit beim Öffnen von Adidas-E-Mails. Unabhängig davon hat der Fall aber auch generelle datenschutzrechtliche Bedeutung. Adidas hat sich wahrscheinlich eines Auftragsverarbeiters bedient, der unzureichend abgesichert gewesen sein könnte.
Nach Art. 28 DSGVO bleibt Adidas jedoch für die Auswahl und Kontrolle seiner Dienstleister verantwortlich. Eine lückenhafte Überprüfung oder fehlende technische Sicherheitsvorgaben für Auftragsverarbeiter kann damit zur eigenen Haftung führen, wenn dies tatsächlich Anlass für den Sicherheitsvorfall gewesen sein sollte. Erst kürzlich hat Vodafone genau wegen des fehlerhaften Verhaltens von externen Partnern ein mehrere Millionen schweres Bußgeld erhalten.
Daneben ist die Meldepflicht gegenüber der zuständigen Aufsichtsbehörde nach Art. 33 DSGVO innerhalb von 72 Stunden zu beachten, wenn ein Risiko für Betroffene nicht ausgeschlossen werden kann. Bei einem hohen Risiko ist zusätzlich auch Art. 34 DSGVO zu beachten, wonach Betroffene direkt zu informieren sind.
Fazit
Der Vorfall, bei dem Kundendaten bei einem Adidas-Datenleck gestohlen wurden, verdeutlicht einmal mehr, dass Datenschutzverletzungen schon beim Verlust einfacher Kontaktinformationen rechtliche Meldepflichten auslösen und das Vertrauen der Kundschaft erschüttern können. Besonders problematisch ist es, wenn externe Dienstleister ins Spiel kommen und Verantwortliche deren Sicherheitsstandards nicht regelmäßig überprüfen. Unternehmen sollten den Vorfall als Anlass nehmen, ihre eigenen Datenschutzprozesse zu analysieren und insbesondere die Auftragsverarbeitung stärker abzusichern. Dabei helfen wir als Externe Datenschutzbeauftragte weiter.
