Datenschutzvorfälle bei ManoMano und FunderNation

Der Online-Marktplatz ManoMano, bei dem man von der Badewanne über Grills oder Sofas bis zu Tierfutter alles bekommen kann, hat einen Datenschutzvorfall erlitten, bei dem Daten abgeflossen sind. Weiterhin kam es auch bei der VC-Finanzierungsgesellschaft FunderNation zu einem solchen Datenschutzvorfall mit möglicherweise abgeflossenen Daten.

Datenschutzvorfall bei ManoMano

Zwei Blog-Leser, die ungenannt bleiben wollen, haben mich gestern über einen Datenschutzvorfall bei der Online-Plattform ManoMano informiert (danke dafür).

Wer ist ManoMano?

ManonMano ist ein Online-Marktplatz für nahezu alles, was man für Haus und Garten benötigt. Rangiert in Richtung "Gemischtwarenladen" oder "Zalando für Handwerker", da man neben Badewannen, Grills und Sofas auf der Plattform auch Tiernahrung und Solarpanels bestellen kann.

Der Anbieter sitzt in Frankreich und vermittelt Anbieter mit Kunden, auch in Deutschland, da die Plattform unter der Domain manomano.de auftritt. Die Qualität der Waren hängt vom jeweiligen Drittanbieter ab, das kann mitunter zu Problemen mit Lieferung, Kommunikation oder gefälschter Ware führen, muss aber nicht. Gelobt werden oft gute Preise und schnelle Lieferungen.  

Drittanbieter gehackt, Daten abgeflossen

Der Datenschutzbeauftragte von ManoMano hat zum 11. Februar 2026 Betroffene per Mail über einen Datenschutzvorfall informiert. Einer seiner Kundenservice-Dienstleister (Subunternehmer) wurde im Januar 2026 Opfer eines Cyberangriffs. Dabei kam es zu einem unbefugten Download personenbezogener Daten im Zusammenhang mit dem Kundenkonto von Betroffenen.

Konkret haben Untersuchungen ergeben, dass es im Januar 2026 eine unrechtmäßige Datenextraktion vom Konto eines Mitarbeiters des Subunternehmers gab. Abgeflossen sind Informationen  wie Nachname, Vorname, E-Mail-Adresse, Telefonnummer und alles, was mit dem Kundenservice an Informationen ausgetauscht wurde.

Als der Vorfall entdeckt wurde, ergriff der Anbieter sofort Maßnahmen. Das kompromittierte Konto wurde identifiziert und am Tag der Entdeckung des Vorfalls gesperrt. Dem Subunternehmer wurde der Zugriff auf die Daten der ManoMano-Kunden entzogen und verstärkte Datenzugriffskontrollen innerhalb des Online-Shops bei anderen Subunternehmern implementiert.

Darüber hinaus wurden die CNIL (französische Datenschutzbehörde), die ANSSI (französische Agentur für die Sicherheit von Informationssystemen) und die Plattform Urgence Cyber Île-de-France informiert.

Datenschutzvorfall bei FunderNation

Ein weiterer Blog-Leser informierte mich zum 11. Februar 2026 per Mail über einen Datenschutzvorfall bei FunderNation (danke dafür).

Wer ist FunderNation?

FunderNation ist, nach eigener Aussage, die erste Crowdinvesting-Plattform in Deutschland, die durch ein Venture Capital Team gegründet und geleitet wird. Die digitale Investment Plattform ermöglicht es Privatanlegern und professionellen Investoren ab 100 € in Startups und Wachstumsunternehmen aus dem DACH-Raum zu investieren.

Datenschutzvorfall bei FunderNation

Ein Blog-Leser hat mich zum 11. Februar 2026 über einen Datenschutzvorfall bei FunderNation informiert. Er wurde von der Plattform informiert, dass diese wohl zum 10. Februar 2026 einen mutmaßlichen IT-Sicherheitsvorfall festgestellt hat. Es kann nicht ausgeschlossen werden, dass Daten aus aus Nutzerkonten von dem Vorfall betroffen und abgeflossen sein könnten. Das betrifft  z. B. Stammdaten/Kontaktdaten (Name, Adresse, E-Mail) sowie im Rahmen der Plattformnutzung hinterlegte Informationen (z. B. Bankverbindungsdaten).

Unmittelbar nach Bekanntwerden hat der Betreiber laut eigener Aussage umfassende technische und organisatorische Maßnahmen eingeleitet. Derzeit arbeitet man daran, den Vorfall vollständig aufzuklären und potenzielle Sicherheitsrisiken zu beheben. Man arbeite seit vielen Jahren auf einem sehr hohen Sicherheitsstandard und investiere kontinuierlich in den Schutz der Daten seiner Nutzer, heißt es. Entsprechend nehme man potenzielle Systemschwachstellen sehr ernst.

Von den potenziell betroffenen Systeme wurden umgehend Sicherungen vorgenommen, Zugriffsmöglichkeiten noch stärker eingeschränkt und die Überwachung deutlich intensiviert, um etwaige unautorisierte Zugriffe zu verhindern. Zudem arbeitet das Unternehmen mit IT-Forensik-Spezialisten zusammen, die die Systeme und mögliche Einfallstore prüfen. Sprich: Bisher hat man noch keine Ahnung, was überhaupt genau passiert ist.

Die zuständige Datenschutzaufsichtsbehörde und das BSI (Bundesamt für Sicherheit in der Informationstechnik) wurden informiert. Der mögliche Vorfall wurde dem LKA (Hessisches Landeskriminalamt) gemeldet und wird gemeinsam mit den Behörden verfolgt. Zudem wurden die potentiell betroffenen Kunden per E-Mail informiert.

Meldung von ManoMano

Sehr geehrte Kundin, sehr geehrter Kunde,

wir wurden vor Kurzem darüber informiert, dass einer unserer Kundenservice-Dienstleister (Subunternehmer) im Januar 2026 Opfer eines Cyberangriffs wurde, der zu einem unbefugten Download personenbezogener Daten im Zusammenhang mit Ihrem Kundenkonto geführt hat.

Was ist passiert?

Unsere Untersuchungen sowie die unseres Subunternehmers haben ergeben, dass im Januar 2026 eine unrechtmäßige Datenextraktion vom Konto eines Mitarbeiters unseres Subunternehmers durchgeführt wurde.

Welche Daten sind betroffen?

Die betroffenen Informationen umfassen: Nachname, Vorname, E-Mail-Adresse, Telefonnummer und Ihren Austausch mit unserem Kundenservice, insofern einer stattgefunden hat.

Ihr Passwort ist nicht betroffen. Ihre Daten sind intakt und wurden nicht verändert.

Was haben wir unternommen?

Sobald der Vorfall entdeckt wurde, haben wir sofort alle notwendigen Maßnahmen ergriffen, um Ihre Daten zu schützen.

Die Analysen unserer Cybersicherheitsteams haben es ermöglicht, das kompromittierte Konto schnell zu identifizieren und es sofort am Tag der Entdeckung des Vorfalls zu sperren.

Anschließend haben wir unserem Subunternehmer jeglichen Zugriff auf die Daten unserer Kunden entzogen. Es wurden ebenfalls verstärkte Datenzugriffskontrollen innerhalb unseres Unternehmens und bei unseren anderen Subunternehmern implementiert.
Darüber hinaus haben wir die CNIL (französische Datenschutzbehörde), die ANSSI (französische Agentur für die Sicherheit von Informationssystemen) und die Plattform Urgence Cyber Île-de-France informiert.

Was empfehlen wir Ihnen zu tun?

Die Person(en), die für diese Datenschutzverletzung verantwortlich sind, könnten einige der Daten verwenden, um betrügerische Handlungen gegen Sie oder Dritte zu versuchen, indem sie Sie per E-Mail oder Telefon kontaktieren (Phishing-Versuche per E-Mail, SMS oder Telefonanrufe) oder sich als Sie ausgeben (Identitätsdiebstahl im Internet).

Wir empfehlen Ihnen, besonders wachsam gegenüber möglichen Betrugsversuchen zu sein und diese bewährten Praktiken zu befolgen:

• Überprüfen Sie immer die Herkunft der E-Mails, die Sie erhalten und stellen Sie sicher, dass Sie den Absender kennen, insbesondere durch Überprüfung seiner E-Mail-Adresse,
• Öffnen Sie keine E-Mails oder Anhänge, wenn Sie Zweifel an ihrer Herkunft haben, und antworten Sie auf keine E-Mail von einem unbekannten Absender,
• Im Zweifelsfall überprüfen Sie die Identität des Absenders über einen anderen Kanal (Telefonnummer, alternative E-Mail-Adresse)
• Antworten Sie nicht auf Anfragen nach vertraulichen Informationen, ohne sich ihrer Herkunft sicher zu sein, und geben Sie keine Daten weiter (insbesondere Bankdaten, Zugangscodes, Passwörter oder Kennungen), ohne sich der Sicherheit der Nachricht und der Identität des Anfragenden versichert zu haben, egal ob die Anfrage per E-Mail, Telefon, SMS oder über soziale Medien an Sie gerichtet wird,
• Klicken Sie nicht auf verdächtige Links in einer E-Mail, überprüfen Sie insbesondere die Adresse der Website, zu der Sie weitergeleitet werden, indem Sie mit der Maus über den Link fahren, und verbinden Sie sich gegebenenfalls direkt über Ihren Browser mit der Website-Adresse, ohne auf den Link in der E-Mail zu klicken,
• Überprüfen Sie die Adresse der Website, zu der Sie weitergeleitet werden, bevor Sie vertrauliche Informationen weitergeben,
• Stellen Sie sicher, dass das Antivirenprogramm auf Ihrem Computer aktiviertund auf dem neuesten Stand ist,
• Überwachen Sie regelmäßig Ihre Bankkonten, um sicherzustellen, dass keine betrügerischen Abbuchungen auf Ihren Konten eingerichtet wurden,
• Wenden Sie sich an Ihre Bank, um gegen betrügerische Abbuchungen Widerspruch einzulegen.

Für weitere Details und Informationen können Sie die Website des BSI (Bundesamt für Sicherheit in der Informationstechnik) konsultieren, sich auf die Best Practices für digitale Sicherheit des BfDI (Bundesbeauftragter für den Datenschutz und Informationsfreiheit)  beziehen und die Empfehlungen der BSI-Verbraucherschutzseite nutzen. Insbesondere sind die Risiken im Zusammenhang mit Identitätsdiebstahl sowie die Maßnahmen zum Schutz davor auf dieser Seite aufgeführt.

Unsere Verpflichtung

Wir bedauern diese Verletzung der Vertraulichkeit Ihrer Informationen und tun alles, um Abhilfe zu schaffen. Die Sicherheit und das Vertrauen unserer Nutzer bleiben unsere Priorität.

In diesem Zusammenhang haben wir eine spezielle Telefonleitung unter +496980884449 eingerichtet, um Fragen zu beantworten, die Sie zu diesem Vorfall haben könnten. Der Datenschutzbeauftragte von ManoMano steht Ihnen auch für weitere Informationen unter folgender Adresse zur Verfügung: dpo@manomano.com.

Mit freundlichen Grüßen,

der Datenschutzbeauftragte von ManoMano

Mitteilung von FunderNation

Wichtige Information zu einem potenziellen IT-Sicherheitsvorfall bei FunderNation

Guten Tag xxx,

wir möchten Sie darüber informieren, dass wir gestern Nachmittag einen mutmaßlichen IT-Sicherheitsvorfall festgestellt haben. Unmittelbar nach Bekanntwerden haben wir umfassende technische und organisatorische Maßnahmen eingeleitet. Wir arbeiten mit höchstem Nachdruck daran, den Vorfall vollständig aufzuklären und potenzielle Sicherheitsrisiken zu beheben. Seit vielen Jahren arbeiten wir auf einem sehr hohen Sicherheitsstandard und investieren kontinuierlich in den Schutz der Daten unserer Nutzer, entsprechend nehmen wir potenzielle Systemschwachstellen sehr ernst.

Welche Maßnahmen wir bereits ergriffen haben:

• Von den potenziell betroffenen Systeme wurden umgehend Sicherungen vorgenommen, Zugriffsmöglichkeiten noch stärker eingeschränkt und die Überwachung deutlich intensiviert, um etwaige unautorisierte Zugriffe zu verhindern.
• Wir arbeiten mit IT-Forensik-Spezialisten zusammen, die die Systeme und mögliche Einfallstore prüfen.
• Die zuständige Datenschutzaufsichtsbehörde und das BSI (Bundesamt für Sicherheit in der Informationstechnik) wurden informiert.
• Der mögliche Vorfall wurde dem LKA (Hessisches Landeskriminalamt) gemeldet und wird gemeinsam mit den Behörden verfolgt.

Welche Daten möglicherweise betroffen sein können

Derzeit prüfen wir sorgfältig, ob es zu einem Vorfall gekommen ist, und welchen Umfang dieser gegebenenfalls haben könnte. Dabei nehmen wir den Schutz Ihrer Daten sehr ernst. Es ist aktuell nicht mit Sicherheit ausgeschlossen, dass Daten aus Ihrem Nutzerkonto betroffen sein könnten, z. B. Stammdaten/Kontaktdaten (Name, Adresse, E-Mail) sowie im Rahmen der Plattformnutzung hinterlegte Informationen (z. B. Bankverbindungsdaten).

Sensible Identifizierungsdokumente werden bei FunderNation grundsätzlich nicht dauerhaft gespeichert. Passwörter werden ausschließlich verschlüsselt gespeichert.

Was wir Ihnen vorsorglich empfehlen

Bitte beachten Sie folgende Vorsichtsmaßnahmen zum Schutz vor IT-Sicherheitsvorfällen. Auch dann, wenn Sie bislang keine Auffälligkeiten feststellen:

• Passwortsicherheit: Ändern Sie Ihr FunderNation-Passwort vorsorglich. Wenn Sie dasselbe oder ein ähnliches Passwort bei anderen Diensten verwendet haben, ändern Sie es dort ebenfalls.
• Bankkonto im Blick behalten: Achten Sie auf ungewöhnliche Aktivitäten.
• Vorsicht bei Phishing/Erpressung: Seien Sie besonders aufmerksam bei verdächtigen E-Mails, Anrufen oder Nachrichten – insbesondere bei Aufforderungen zur Zahlung oder zur Weitergabe sensibler Informationen:
  • Bitte nicht antworten und nicht zahlen.
  • Geben Sie niemals Passwörter, TAN/OTP-Codes oder 2FA-Codes weiter.
  • FunderNation wird Sie niemals nach Passwörtern, TAN/OTP-Codes fragen oder Zahlungen verlangen, um Ihr Konto „zu schützen".

Wenn Sie eine verdächtige Nachricht erhalten, leiten Sie diese bitte an uns (fundernation@fundernation.eu) weiter (gern mit Screenshot/Originalnachricht) und reagieren Sie nicht darauf. Zusätzlich können Sie Auffälligkeiten per E-Mail an zac.hlka@polizei.hessen.de unter Angabe der Vorgangsnummer ST/0156781/2026 direkt an das LKA melden.

Sobald uns neue oder gesicherte Erkenntnisse vorliegen, informieren wir Sie umgehend.

Mit freundlichen Grüßen
Ihr FunderNation Team