Krispy Kremes 1,6-Millionen-Dollar-Vergleich: So fordern Sie bis zu 3.500 Dollar

Krispy Kremes 1,6-Millionen-Dollar-Vergleich: So fordern Sie bis zu 3.500 Dollar

Krispy Kreme, die in North Carolina ansässige Donut- und Kaffeekette, hat sich auf einen Vergleich in Höhe von 1,6 Millionen Dollar in einer Sammelklage geeinigt, nachdem bei einem Datenschutzverstoß im November 2024 vertrauliche Kundendaten, darunter Sozialversicherungsnummern, offengelegt wurden. Ungefähr 161.676 Personen waren betroffen, und berechtigte Antragsteller können eine Entschädigung von bis zu 3.500 Dollar sowie ein Jahr kostenloses Kredit-Monitoring erhalten. Falls Sie während des Verstoßzeitraums Kunde bei Krispy Kreme waren, erfahren Sie hier, was Sie vor Ablauf der Anmeldefrist wissen müssen.

Was beim Krispy-Kreme-Datenschutzverstoß geschah

Der Verstoß wurde im November 2024 entdeckt und umfasste den unbefugten Zugriff auf die Systeme von Krispy Kreme. Zu den offengelegten Daten gehörten Berichten zufolge personenbezogene Informationen, die schwerwiegend genug sind, um Bedenken hinsichtlich Identitätsdiebstahls auszulösen – Sozialversicherungsnummern befanden sich unter den kompromittierten Daten. Dieses Ausmaß der Offenlegung stuft den Vorfall in eine ernstere Kategorie ein als ein einfaches Leck von E-Mails oder Passwörtern.

Krispy Kreme hat im Rahmen des Vergleichs kein Fehlverhalten eingeräumt, was bei solchen Einigungen üblich ist. Die Zustimmung des Unternehmens, 1,6 Millionen Dollar zu zahlen, spiegelt jedoch den rechtlichen und reputativen Druck wider, dem Unternehmen ausgesetzt sind, wenn Kundendaten nicht ordnungsgemäß geschützt werden. Für betroffene Personen stellt der Vergleich eine seltene Gelegenheit dar, eine gewisse Entschädigung für einen Schaden zu erhalten, der oft unsichtbar bleibt, bis er auf einem Kreditbericht oder einer Steuererklärung auftaucht.

Wer ist berechtigt und wie viel können Sie erhalten?

Der Vergleich sieht zwei Hauptentschädigungsstufen vor:

• Dokumentierte Verluste durch Betrug oder Identitätsdiebstahl: Antragsteller, die Belege für Auslagen, betrügerische Abbuchungen oder finanzielle Verluste durch Identitätsdiebstahl im Zusammenhang mit dem Datenleck einreichen können, haben Anspruch auf eine Erstattung von bis zu 3.500 Dollar.
• Alle anderen betroffenen Personen: Wer über den Verstoß benachrichtigt wurde, aber keine spezifischen Verluste nachweisen kann, hat dennoch Anspruch auf eine Pauschalzahlung von 75 Dollar sowie ein Jahr kostenlosen Kredit-Monitorings.

Die Pauschalzahlung von 75 Dollar mag bescheiden erscheinen, doch das Kredit-Monitoring bringt einen echten praktischen Nutzen. Identitätsdiebstahl, der durch die Offenlegung einer Sozialversicherungsnummer ausgelöst wird, kann Monate oder sogar Jahre dauern, bis er sich zeigt. Ein proaktives Monitoring bietet daher ein sinnvolles Sicherheitsnetz, das über die Geldzahlung hinausgeht.

Als Frist für die Anspruchsanmeldung wurde der 6. Juni 2026 genannt. Wenn Sie eine Benachrichtigung von Krispy Kreme über den Verstoß erhalten haben, prüfen Sie das Schreiben sorgfältig auf die Website des Vergleichsverwalters und die Anweisungen zur Einreichung. Wer die Frist versäumt, verliert jeden Anspruch auf Entschädigung.

Warum es im Einzelhandel immer wieder zu Datenschutzverstößen kommt

Der Vorfall bei Krispy Kreme fügt sich in ein vertrautes Muster ein. Einzelhändler und Gastronomiebetriebe sammeln über Treueprogramme, Online-Bestellplattformen und Bezahlsysteme umfangreiche personenbezogene Daten, doch die Investitionen in die Sicherheit hinken dem Wert der gespeicherten Daten oft hinterher. Kassensysteme, Integrationen mit Drittanbieter-Lieferdiensten und Franchise-Infrastrukturen können Schwachstellen einführen, die ein versierter Angreifer ausnutzen kann.

Vorschriften wie die Safeguards-Regel der FTC und verschiedene Datenschutzgesetze auf Bundesstaatsebene haben die Anforderungen an den Umgang mit Daten erhöht, doch die Durchsetzung bleibt reaktiv statt präventiv. Bis ein Verstoß entdeckt, untersucht, gerichtlich verhandelt und durch einen Vergleich beigelegt wird, können Jahre vergehen. Der Kunde, dessen Sozialversicherungsnummer im November 2024 offengelegt wurde, hat möglicherweise noch bis 2027 oder länger mit den Folgen zu kämpfen.

Genau aus diesem Grund verfolgen Sicherheitsforscher aufmerksam, wie Unternehmen ihre Lieferantenbeziehungen verwalten. Ein Verstoß muss nicht immer innerhalb der eigenen Wände des betroffenen Unternehmens beginnen. Angreifer kompromittieren ein Unternehmen häufig, indem sie zunächst in einen Zulieferer oder externen Dienstleister eindringen – eine Technik, die detailliert beschrieben wird, wenn man versteht, wie Angriffe auf die Lieferkette funktionieren. Unabhängig davon, ob dies bei Krispy Kreme der Fall war, wird deutlich: Jedes Unternehmen, das sensible Daten verarbeitet, ist nur so sicher wie sein schwächster angebundener Partner.

Was das für Sie bedeutet

Wenn Sie vom Krispy-Kreme-Verstoß betroffen sind, besteht die dringendste Priorität darin, Ihren Anspruch vor Ablauf der Frist anzumelden. Sammeln Sie sämtliche Unterlagen über ungewöhnliche finanzielle Aktivitäten, betrügerische Konten oder damit verbundene Kosten ab Ende 2024, da solche Belege die höhere Entschädigungsstufe stützen.

Über diesen speziellen Vergleich hinaus ist der Vorfall eine praktische Mahnung, dass Kredit-Monitoring zwar nützlich, aber kein vollständiger Schutz ist. Hier sind konkrete Schritte, die Sie unternehmen sollten:

• Lassen Sie Ihr Kreditprofil einfrieren bei allen drei großen Auskunfteien (Equifax, Experian und TransUnion). Ein Credit Freeze ist kostenlos, jederzeit umkehrbar und verhindert, dass ohne Ihr ausdrückliches Einverständnis neue Konten in Ihrem Namen eröffnet werden. Er ist wirkungsvoller als ein Monitoring allein.
• Überprüfen Sie Ihr Konto bei der Sozialversicherungsbehörde auf ssa.gov, um nicht autorisierte Verdienstaufzeichnungen oder Leistungsansprüche zu entdecken, die mit Ihrer Nummer verknüpft sind.
• Verwenden Sie einzigartige, starke Passwörter und aktivieren Sie die Multi-Faktor-Authentifizierung für alle Konten, die mit Ihrer E-Mail-Adresse verknüpft sind – insbesondere für Treue- und Einzelhandelskonten.
• Seien Sie in öffentlichen WLAN-Netzen vorsichtig, wenn Sie auf Finanz- oder Einzelhandelskonten zugreifen. Unverschlüsselte Verbindungen in gemeinsam genutzten Netzwerken können Anmeldedaten preisgeben, selbst wenn die Systeme des Unternehmens sicher sind.

Die übergreifende Lehre aus dem Krispy-Kreme-Vergleich lautet, dass die Last des Datenschutzes weiterhin stark auf den einzelnen Verbrauchern ruht, selbst wenn Unternehmen beim Schutz der Daten versagt haben. Vergleiche entschädigen für vergangenen Schaden, verhindern aber nicht den nächsten Verstoß. Persönliche Datenhygiene – von Credit Freezes bis zu sorgfältiger Kontoverwaltung – ist der einzige verlässliche Weg, um Ihr Risiko bei all den Unternehmen zu verringern, die Ihre Daten speichern.

Sollten Sie eine Benachrichtigung über den Verstoß erhalten haben und unsicher sein, ob Sie anspruchsberechtigt sind, besuchen Sie die offizielle Website des Vergleichsverwalters, die in Ihrem Benachrichtigungsschreiben aufgeführt ist. Suchen Sie den Vergleich nicht über Drittanbieter-Seiten, da Betrüger regelmäßig ähnlich aussehende Seiten einrichten, die auf Opfer von Datenpannen abzielen, die auf Entschädigung hoffen.