Über 161.000 Betroffene müssen sich beeilen: Nur wenige Wochen bleiben, um Ansprüche aus einem 1,6 Millionen Euro schweren Vergleich geltend zu machen. Der US-Donut-Konzern Krispy Kreme hatte im November 2024 einen schweren Ransomware-Angriff erlitten – mit weitreichenden Folgen für Mitarbeiter und ehemalige Beschäftigte.
Was geschah im November 2024?
Die Hackergruppe Play drang in die internen Systeme des Unternehmens ein und erbeutete rund 184 Gigabyte an Daten. Betroffen waren 161.676 Personen. Die gestohlenen Informationen umfassten nicht nur Namen und Finanzdaten, sondern auch hochsensible Sozialversicherungsnummern und biometrische Daten.
Der Schaden für Krispy Kreme war enorm: Rund 11 Millionen Euro Umsatzverlust durch Systemausfälle, dazu etwa 4,4 Millionen Euro für die IT-Notfallmaßnahmen. Insgesamt belaufen sich die Kosten auf über 17 Millionen Euro – inklusive des Vergleichsfonds von rund 1,6 Millionen Euro.
Ransomware-Angriffe wie auf Krispy Kreme zeigen, wie schnell Unternehmen durch Cyberkriminalität enorme finanzielle Verluste erleiden können. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und Ihr Unternehmen ohne teure Investitionen vor aktuellen Bedrohungen schützen. IT-Sicherheitslücken schließen und Bedrohungen abwenden
Die Play-Gruppe ist bekannt für ihre „Double-Extortion“-Taktik: Sie verschlüsselt nicht nur Daten, sondern droht auch mit der Veröffentlichung gestohlener Informationen. Im Fall Krispy Kreme führte dies zu einer Sammelklage. Der Vorwurf: Das Unternehmen habe keine ausreichenden Sicherheitsmaßnahmen zum Schutz der Mitarbeiterdaten getroffen.
Wer bekommt wie viel?
Der Vergleich sieht zwei Entschädigungswege vor:
- Nachgewiesene Schäden: Wer belegen kann, dass ihm durch den Datenklau finanzielle Verluste entstanden sind – etwa durch Identitätsdiebstahl oder Kosten für Kreditwiederherstellung –, kann bis zu 3.500 Euro erhalten.
- Pauschale Entschädigung: Für alle anderen Betroffenen ohne konkrete Belege gibt es eine pro-rata-Zahlung, die auf etwa 75 Euro geschätzt wird. Der genaue Betrag hängt von der Gesamtzahl der gültigen Anträge ab.
Zusätzlich erhalten alle Berechtigten ein Jahr kostenlosen Kreditmonitoring-Service. Das ist besonders wichtig, denn biometrische Daten und Sozialversicherungsnummern lassen sich – anders als Passwörter oder Kreditkartennummern – nicht einfach ändern.
Wichtige Fristen im Überblick
Die Zeit drängt: Der Stichtag für die Einreichung von Ansprüchen ist der 22. Juni 2026. Einige Quellen deuten auf eine mögliche Verlängerung bis zum 26. Juni hin. Wer sich von der Sammelklage ausschließen und sein individuelles Klagerecht behalten möchte, muss seinen Opt-out-Antrag bis zum 6. Juni stellen.
Die endgültige Anhörung zur Genehmigung des Vergleichs ist für den 6. Juli 2026 angesetzt. Stimmt das Gericht zu, sollen die Zahlungen kurz danach erfolgen – vorausgesetzt, es gibt keine Einspruche.
Was bedeutet das für den Datenschutz?
Der Fall Krispy Kreme ist kein Einzelfall. Er reiht sich ein in eine wachsende Zahl von Datenklau-Verfahren, die 2026 ihren Höhepunkt erreichen. So sieht sich etwa der Kreuzfahrtriese Carnival Corp. mit einer Sammelklage konfrontiert, weil er angeblich über 8,7 Millionen Kunden nicht rechtzeitig über einen Datenleck informiert haben soll.
Besonders die biometrischen Daten stehen im Fokus. Juristen beobachten, dass Vergleiche in solchen Fällen oft höhere Pro-Kopf-Zahlungen nach sich ziehen – wegen der Unwiderruflichkeit dieser Informationen. Während man ein Passwort ändern kann, bleibt ein Fingerabdruck oder ein Iris-Scan ein Leben lang gültig.
Für Unternehmen bedeutet das: Die Kosten eines Datenlecks beschränken sich längst nicht mehr auf die IT-Sanierung. Millionen-Vergleiche und jahrelange gerichtliche Auflagen sind die neue Realität. Der Krispy-Kreme-Fall zeigt zudem, wie wichtig Business-Continuity-Pläne sind: Die stillen Verluste durch Betriebsausfälle überstiegen die reinen IT-Kosten um ein Vielfaches.
Ausblick
Für die betroffenen Mitarbeiter bietet der Vergleich zumindest eine gewisse finanzielle Absicherung und die Möglichkeit, ihre Kreditwürdigkeit zu überwachen. Die langfristigen Risiken durch gestohlene biometrische Daten bleiben jedoch bestehen – weit über das einjährige Monitoring hinaus.
Krispy Kreme selbst hat nach eigenen Angaben seit dem Angriff massiv in die IT-Sicherheit investiert. Sollte der Vergleich im Juli endgültig genehmigt werden, könnte das Unternehmen den Rechtsstreit hinter sich lassen. Die Branche wird den Fall genau beobachten – als mögliches Vorbild für künftige Verfahren mit ähnlichen Datenmengen.
