通过公开抄送名单导致的隐私泄露事件 – BM04 升级套件

Datenschutzvorfall durch offenen CC-Verteiler – BM04 Upgrade Kit
Ticket 1254733 open normal 2026-05-13T11:14:55Z Zendesk
客服备注 / Agents notes 34029476051481
5/14 esc to complaint team as per sir william
5/14 根据 Sir William 的指示升级至投诉团队
Zendesk 既有问题分类 34154549939865
Report::Report sensitive info
value: report__report_sensitive_info
投诉/反馈敏感信息泄露
销售渠道 / 来源渠道 32685292044825
Shopify::Official web
value: shopify_official_web
产品型号 / 产品线 33749938239513
electrical::Baby Monitor::BM04
value: electrical__baby_monitor__bm04

核心信息

产品字段
会话渠道
{"email": 1}
本地 channel
Agent
更新时间
2026-05-13T11:14:55Z
Requester
模型
gemini-3-flash-preview

中文整合阅读文本

【标题】:通过公开抄送名单导致的隐私泄露事件 – BM04 升级套件
【分类】:投诉/反馈敏感信息泄露
【渠道】:Email / Agent
【客服备注】:5/14 根据 Sir William 的指示升级至投诉团队

【会话详情】:
[2026-05-13 Customer (larsboehm@web.de)]:
客户投诉公司在 5 月 13 日发送 BM04 升级套件邮件时,错误地使用了公开抄送(CC)而非密送(BCC),导致约 45 名客户的邮箱地址互相可见。客户指出这违反了 GDPR (DSGVO) 的多项条款(第 4, 6, 32, 33, 34 条),不仅泄露了邮箱,还由于产品涉及婴儿监控器,关联到了敏感的个人家庭情况。客户要求 7 天内书面答复以下事项:内部泄露记录、风险评估结果、是否上报监管机构、受影响人员通知计划、预防措施、隐私官联系方式,并要求以后不再发生此类情况。若不解决,将向监管机构投诉。客户身份为德国某医院的内科医生/职工委员会成员。

描述与翻译

中文描述

尊敬的 Momcozy 支持团队:

在您 2026 年 5 月 13 日发送的主题为“BM04 Upgrade Kit Receipt & Important Instructions”的电子邮件中,显然是通过可见的抄送(CC)名单发送给了众多收件人。

因此,约 45 名个人的电子邮件地址被公开,对所有其他收件人可见。

根据我的评估,这构成《通用数据保护条例》(GDPR/DSGVO)第 4 条第 12 款所定义的数据泄露,因为个人数据在无意中泄露给了未经授权的第三方。

邮件内容涉及婴儿监控摄像头或通过 USB 驱动器提供的 BM04 升级套件,这一点尤为严重。

这不仅泄露了电子邮件地址,还可以据此推断出客户身份、特定产品的使用情况,以及可能涉及的私人家庭或婴儿相关的私人情况。

从数据保护法律的角度来看,这存在严重隐患。对我而言,向其他客户披露电子邮件地址的行为在 GDPR 第 6 条中没有可识别的法律依据。此外,使用公开抄送名单表明在 GDPR 第 32 条意义上的技术和组织措施不足,特别是在机密性以及防止未经授权披露个人数据方面。

根据风险评估结果,还可能存在 GDPR 第 33 条和第 34 条规定的报告和通知义务。此处尤其需要考虑以下风险:意外接触、垃圾邮件、钓鱼攻击、画像分析或在敏感产品背景下无意中披露的客户关系。

因此,我要求您就以下几点及时提供书面答复:

1. 该事件是否已按 GDPR 第 4 条第 12 款在内部记录为数据泄露?
2. 是否根据 GDPR 进行了正式的风险评估?
3. 该事件是否已根据 GDPR 第 33 条向相关数据保护监管机构报告?
4. 如果符合法定条件,是否根据 GDPR 第 34 条向受影响人员通知该事件?
5. 正在采取哪些符合 GDPR 第 32 条的技术和组织措施以防止再次发生?
6. 请确认今后我的个人数据不会再次在公开或可见的收件人名单中被处理。
7. 请向我提供您数据保护官或相关数据保护/隐私部门的联系方式。

请将此消息转发给 Momcozy、ROOT Technology Ltd. 以及(如适用)HONG KONG LUTE TECHNOLOGY CO., LIMITED 的相关数据保护部门或数据保护官。

我要求在 7 天内给予书面回复。若未得到妥善处理,我明确保留将此事提交给相关数据保护监管机构审查的权利。

顺颂商祺

Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH

Lars Böhm
内科医生 / 职工委员会成员
肾脏病与高血压病科

电话:+49 611 43-1501
电子邮件:Lars.Boehm@helios-gesundheit.de

Ludwig-Erhard-Straße 90 - 65199 Wiesbaden
www.helios-gesundheit.de/kliniken/wiesbaden-hsk (https://deref-web.de/mail/client/mWiq8FzF9-g/dereferrer/?redirectUrl=https%3A%2F%2Fderef-web.de%2Fmail%2Fclient%2Fio3jQ2TSn9o%2Fdereferrer%2F%3FredirectUrl%3Dhttps%253A%252F%252Fderef-web.de%252Fmail%252Fclient%252FbUwOCAfQCqo%252Fdereferrer%252F%253FredirectUrl%253Dhttps%25253A%25252F%25252Fderef-web.de%25252Fmail%25252Fclient%25252FJPQJdFHH0yU%25252Fdereferrer%25252F%25253FredirectUrl%25253Dhttp%2525253A%2525252F%2525252Fwww.helios-gesundheit.de%2525252Fkliniken%2525252Fwiesbaden-hsk)

运营方:Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH
总经理:Rungfa Saligmann, Michael Hofmann
监事会主席:Milena Löbcke
公司总部:Wiesbaden
商业登记:Amtsgericht Wiesbaden HRB 10028

英文/原始描述

Sehr geehrtes Momcozy Support-Team,

in Ihrer E-Mail vom 13.05.2026 mit dem Betreff „BM04 Upgrade Kit Receipt & Important Instructions“ wurden zahlreiche Empfängerinnen und Empfänger offenbar im sichtbaren CC-Verteiler angeschrieben.

Dadurch wurden die E-Mail-Adressen von ca. 45 Einzelpersonen für alle anderen Empfänger sichtbar offengelegt.

Nach meiner Einschätzung handelt es sich hierbei um eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DSGVO, da personenbezogene Daten unbeabsichtigt gegenüber unbefugten Dritten offengelegt wurden.

Besonders kritisch erscheint der Kontext der Nachricht: Die E-Mail betrifft eine Babycamera bzw. ein BM04-Upgrade-Kit per USB-Stick.

Damit wurden nicht nur E-Mail-Adressen offengelegt, sondern es können zusätzlich Rückschlüsse auf eine Kundeneigenschaft, die Nutzung eines bestimmten Produkts sowie möglicherweise private familiäre bzw. babybezogene Umstände gezogen werden.

Aus datenschutzrechtlicher Sicht bestehen daher erhebliche Bedenken. Die Offenlegung der E-Mail-Adressen gegenüber anderen Kundinnen und Kunden ist für mich nicht durch eine erkennbare Rechtsgrundlage nach Art. 6 DSGVO gedeckt. Zudem spricht die Verwendung eines offenen CC-Verteilers für unzureichende technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, insbesondere im Hinblick auf Vertraulichkeit und den Schutz vor unbefugter Offenlegung personenbezogener Daten.

Je nach Ergebnis Ihrer Risikobewertung können außerdem Melde- und Informationspflichten nach Art. 33 und Art. 34 DSGVO bestehen. Zu berücksichtigen sind hierbei insbesondere Risiken wie unerwünschte Kontaktaufnahme, Spam, Phishing, Profilbildung oder die unbeabsichtigte Offenlegung einer Kundenbeziehung in einem sensiblen Produktkontext.

Ich bitte Sie daher um zeitnahe schriftliche Stellungnahme zu folgenden Punkten:

1. Wurde der Vorfall intern als Datenschutzverletzung gemäß Art. 4 Nr. 12 DSGVO dokumentiert?
2. Wurde eine formale Risikobewertung nach DSGVO durchgeführt?
3. Wurde bzw. wird der Vorfall gemäß Art. 33 DSGVO der zuständigen Datenschutzaufsichtsbehörde gemeldet?
4. Werden die betroffenen Personen gemäß Art. 34 DSGVO über den Vorfall informiert, sofern die gesetzlichen Voraussetzungen hierfür vorliegen?
5. Welche technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO werden ergriffen, um eine Wiederholung auszuschließen?
6. Bitte bestätigen Sie, dass meine personenbezogenen Daten künftig nicht erneut in offenen oder sichtbaren Empfängerverteilern verarbeitet werden.
7. Bitte teilen Sie mir die Kontaktdaten Ihres Datenschutzbeauftragten bzw. der zuständigen Datenschutz-/Privacy-Abteilung mit.

Bitte leiten Sie diese Nachricht an die zuständige Datenschutzabteilung bzw. den Datenschutzbeauftragten von Momcozy, ROOT Technology Ltd. und – soweit einschlägig – HONG KONG LUTE TECHNOLOGY CO., LIMITED weiter.

Ich bitte um schriftliche Rückmeldung innerhalb von 7 Tagen. Ich behalte mir ausdrücklich vor, den Vorgang bei der zuständigen Datenschutzaufsichtsbehörde zur Prüfung einzureichen, sofern keine angemessene Bearbeitung erfolgt.

Mit freundlichen Grüßen

Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH

Lars Böhm
Arzt Innere Medizin / Betriebsrat
Klinik für Nephrologie und Hypertensiologie

Tel.: +49 611 43-1501
E-Mail: Lars.Boehm@helios-gesundheit.de

Ludwig-Erhard-Straße 90 - 65199 Wiesbaden
www.helios-gesundheit.de/kliniken/wiesbaden-hsk (https://deref-web.de/mail/client/mWiq8FzF9-g/dereferrer/?redirectUrl=https%3A%2F%2Fderef-web.de%2Fmail%2Fclient%2Fio3jQ2TSn9o%2Fdereferrer%2F%3FredirectUrl%3Dhttps%253A%252F%252Fderef-web.de%252Fmail%252Fclient%252FbUwOCAfQCqo%252Fdereferrer%252F%253FredirectUrl%253Dhttps%25253A%25252F%25252Fderef-web.de%25252Fmail%25252Fclient%25252FJPQJdFHH0yU%25252Fdereferrer%25252F%25253FredirectUrl%25253Dhttp%2525253A%2525252F%2525252Fwww.helios-gesundheit.de%2525252Fkliniken%2525252Fwiesbaden-hsk)

Träger: Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH
Geschäftsführer: Rungfa Saligmann, Michael Hofmann
Aufsichtsratsvorsitzende: Milena Löbcke
Sitz der Gesellschaft: Wiesbaden
Handelsregister: Amtsgericht Wiesbaden HRB 10028

Conversation 中文翻译

#1 customer 2026-05-13T11:14:55Z email Comment larsboehm@web.de
尊敬的 Momcozy 支持团队:

在您 2026 年 5 月 13 日发送的主题为“BM04 Upgrade Kit Receipt & Important Instructions”的电子邮件中,显然是通过可见的抄送(CC)名单发送给了众多收件人。

因此,约 45 名个人的电子邮件地址被公开,对所有其他收件人可见。

根据我的评估,这构成《通用数据保护条例》(GDPR/DSGVO)第 4 条第 12 款所定义的数据泄露,因为个人数据在无意中泄露给了未经授权的第三方。

邮件内容涉及婴儿监控摄像头或通过 USB 驱动器提供的 BM04 升级套件,这一点尤为严重。

这不仅泄露了电子邮件地址,还可以据此推断出客户身份、特定产品的使用情况,以及可能涉及的私人家庭或婴儿相关的私人情况。

从数据保护法律的角度来看,这存在严重隐患。对我而言,向其他客户披露电子邮件地址的行为在 GDPR 第 6 条中没有可识别的法律依据。此外,使用公开抄送名单表明在 GDPR 第 32 条意义上的技术和组织措施不足,特别是在机密性以及防止未经授权披露个人数据方面。

根据风险评估结果,还可能存在 GDPR 第 33 条和第 34 条规定的报告和通知义务。此处尤其需要考虑以下风险:意外接触、垃圾邮件、钓鱼攻击、画像分析或在敏感产品背景下无意中披露的客户关系。

因此,我要求您就以下几点及时提供书面答复:

1. 该事件是否已按 GDPR 第 4 条第 12 款在内部记录为数据泄露?
2. 是否根据 GDPR 进行了正式的风险评估?
3. 该事件是否已根据 GDPR 第 33 条向相关数据保护监管机构报告?
4. 如果符合法定条件,是否根据 GDPR 第 34 条向受影响人员通知该事件?
5. 正在采取哪些符合 GDPR 第 32 条的技术和组织措施以防止再次发生?
6. 请确认今后我的个人数据不会再次在公开或可见的收件人名单中被处理。
7. 请向我提供您数据保护官或相关数据保护/隐私部门的联系方式。

请将此消息转发给 Momcozy、ROOT Technology Ltd. 以及(如适用)HONG KONG LUTE TECHNOLOGY CO., LIMITED 的相关数据保护部门或数据保护官。

我要求在 7 天内给予书面回复。若未得到妥善处理,我明确保留将此事提交给相关数据保护监管机构审查的权利。

顺颂商祺

Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH

Lars Böhm
内科医生 / 职工委员会成员
肾脏病与高血压病科

电话:+49 611 43-1501
电子邮件:Lars.Boehm@helios-gesundheit.de

Ludwig-Erhard-Straße 90 - 65199 Wiesbaden
www.helios-gesundheit.de/kliniken/wiesbaden-hsk

运营方:Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH
总经理:Rungfa Saligmann, Michael Hofmann
监事会主席:Milena Löbcke
公司总部:Wiesbaden
商业登记:Amtsgericht Wiesbaden HRB 10028
英文原文 / 原始消息
Sehr geehrtes Momcozy Support-Team, 
 in Ihrer E-Mail vom 13.05.2026 mit dem Betreff „BM04 Upgrade Kit Receipt & Important Instructions“ wurden zahlreiche Empfängerinnen und Empfänger offenbar im sichtbaren CC-Verteiler angeschrieben. 
 Dadurch wurden die E-Mail-Adressen von ca. 45 Einzelpersonen für alle anderen Empfänger sichtbar offengelegt. 
 Nach meiner Einschätzung handelt es sich hierbei um eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DSGVO, da personenbezogene Daten unbeabsichtigt gegenüber unbefugten Dritten offengelegt wurden. 
 Besonders kritisch erscheint der Kontext der Nachricht: Die E-Mail betrifft eine Babycamera bzw. ein BM04-Upgrade-Kit per USB-Stick. 
 Damit wurden nicht nur E-Mail-Adressen offengelegt, sondern es können zusätzlich Rückschlüsse auf eine Kundeneigenschaft, die Nutzung eines bestimmten Produkts sowie möglicherweise private familiäre bzw. babybezogene Umstände gezogen werden. 
 Aus datenschutzrechtlicher Sicht bestehen daher erhebliche Bedenken. Die Offenlegung der E-Mail-Adressen gegenüber anderen Kundinnen und Kunden ist für mich nicht durch eine erkennbare Rechtsgrundlage nach Art. 6 DSGVO gedeckt. Zudem spricht die Verwendung eines offenen CC-Verteilers für unzureichende technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, insbesondere im Hinblick auf Vertraulichkeit und den Schutz vor unbefugter Offenlegung personenbezogener Daten. 
 Je nach Ergebnis Ihrer Risikobewertung können außerdem Melde- und Informationspflichten nach Art. 33 und Art. 34 DSGVO bestehen. Zu berücksichtigen sind hierbei insbesondere Risiken wie unerwünschte Kontaktaufnahme, Spam, Phishing, Profilbildung oder die unbeabsichtigte Offenlegung einer Kundenbeziehung in einem sensiblen Produktkontext. 
 Ich bitte Sie daher um zeitnahe schriftliche Stellungnahme zu folgenden Punkten: 
 
 Wurde der Vorfall intern als Datenschutzverletzung gemäß Art. 4 Nr. 12 DSGVO dokumentiert? 
 Wurde eine formale Risikobewertung nach DSGVO durchgeführt? 
 Wurde bzw. wird der Vorfall gemäß Art. 33 DSGVO der zuständigen Datenschutzaufsichtsbehörde gemeldet? 
 Werden die betroffenen Personen gemäß Art. 34 DSGVO über den Vorfall informiert, sofern die gesetzlichen Voraussetzungen hierfür vorliegen? 
 Welche technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO werden ergriffen, um eine Wiederholung auszuschließen? 
 Bitte bestätigen Sie, dass meine personenbezogenen Daten künftig nicht erneut in offenen oder sichtbaren Empfängerverteilern verarbeitet werden. 
 Bitte teilen Sie mir die Kontaktdaten Ihres Datenschutzbeauftragten bzw. der zuständigen Datenschutz-/Privacy-Abteilung mit. 
 
 Bitte leiten Sie diese Nachricht an die zuständige Datenschutzabteilung bzw. den Datenschutzbeauftragten von Momcozy, ROOT Technology Ltd. und – soweit einschlägig – HONG KONG LUTE TECHNOLOGY CO., LIMITED weiter. 
 Ich bitte um schriftliche Rückmeldung innerhalb von 7 Tagen. Ich behalte mir ausdrücklich vor, den Vorgang bei der zuständigen Datenschutzaufsichtsbehörde zur Prüfung einzureichen, sofern keine angemessene Bearbeitung erfolgt. 
 Mit freundlichen Grüßen 
 
 Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH

Lars Böhm
Arzt Innere Medizin / Betriebsrat
Klinik für Nephrologie und Hypertensiologie

Tel.: +49 611 43-1501
E-Mail: Lars.Boehm@helios-gesundheit.de

Ludwig-Erhard-Straße 90 - 65199 Wiesbaden
www.helios-gesundheit.de/kliniken/wiesbaden-hsk

Träger: Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH
Geschäftsführer: Rungfa Saligmann, Michael Hofmann
Aufsichtsratsvorsitzende: Milena Löbcke
Sitz der Gesellschaft: Wiesbaden
Handelsregister: Amtsgericht Wiesbaden HRB 10028

全部自定义字段

field_id显示名 / 选项名value
32685292044825Shopify::Official webshopify_official_web
33749938239513electrical::Baby Monitor::BM04electrical__baby_monitor__bm04
340294760514815/14 esc to complaint team as per sir william
34154549939865Report::Report sensitive inforeport__report_sensitive_info

更多原始信息

提取后的分类输入 JSON
{
  "ticket": {
    "ticket_id": "1254733",
    "subject": "Datenschutzvorfall durch offenen CC-Verteiler – BM04 Upgrade Kit",
    "description": "Sehr geehrtes Momcozy Support-Team,\n\nin Ihrer E-Mail vom 13.05.2026 mit dem Betreff „BM04 Upgrade Kit Receipt & Important Instructions“ wurden zahlreiche Empfängerinnen und Empfänger offenbar im sichtbaren CC-Verteiler angeschrieben.\n\nDadurch wurden die E-Mail-Adressen von ca. 45 Einzelpersonen für alle anderen Empfänger sichtbar offengelegt.\n\nNach meiner Einschätzung handelt es sich hierbei um eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DSGVO, da personenbezogene Daten unbeabsichtigt gegenüber unbefugten Dritten offengelegt wurden.\n\nBesonders kritisch erscheint der Kontext der Nachricht: Die E-Mail betrifft eine Babycamera bzw. ein BM04-Upgrade-Kit per USB-Stick.\n\nDamit wurden nicht nur E-Mail-Adressen offengelegt, sondern es können zusätzlich Rückschlüsse auf eine Kundeneigenschaft, die Nutzung eines bestimmten Produkts sowie möglicherweise private familiäre bzw. babybezogene Umstände gezogen werden.\n\nAus datenschutzrechtlicher Sicht bestehen daher erhebliche Bedenken. Die Offenlegung der E-Mail-Adressen gegenüber anderen Kundinnen und Kunden ist für mich nicht durch eine erkennbare Rechtsgrundlage nach Art. 6 DSGVO gedeckt. Zudem spricht die Verwendung eines offenen CC-Verteilers für unzureichende technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, insbesondere im Hinblick auf Vertraulichkeit und den Schutz vor unbefugter Offenlegung personenbezogener Daten.\n\nJe nach Ergebnis Ihrer Risikobewertung können außerdem Melde- und Informationspflichten nach Art. 33 und Art. 34 DSGVO bestehen. Zu berücksichtigen sind hierbei insbesondere Risiken wie unerwünschte Kontaktaufnahme, Spam, Phishing, Profilbildung oder die unbeabsichtigte Offenlegung einer Kundenbeziehung in einem sensiblen Produktkontext.\n\nIch bitte Sie daher um zeitnahe schriftliche Stellungnahme zu folgenden Punkten:\n\n1. Wurde der Vorfall intern als Datenschutzverletzung gemäß Art. 4 Nr. 12 DSGVO dokumentiert?\n2. Wurde eine formale Risikobewertung nach DSGVO durchgeführt?\n3. Wurde bzw. wird der Vorfall gemäß Art. 33 DSGVO der zuständigen Datenschutzaufsichtsbehörde gemeldet?\n4. Werden die betroffenen Personen gemäß Art. 34 DSGVO über den Vorfall informiert, sofern die gesetzlichen Voraussetzungen hierfür vorliegen?\n5. Welche technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO werden ergriffen, um eine Wiederholung auszuschließen?\n6. Bitte bestätigen Sie, dass meine personenbezogenen Daten künftig nicht erneut in offenen oder sichtbaren Empfängerverteilern verarbeitet werden.\n7. Bitte teilen Sie mir die Kontaktdaten Ihres Datenschutzbeauftragten bzw. der zuständigen Datenschutz-/Privacy-Abteilung mit.\n\nBitte leiten Sie diese Nachricht an die zuständige Datenschutzabteilung bzw. den Datenschutzbeauftragten von Momcozy, ROOT Technology Ltd. und – soweit einschlägig – HONG KONG LUTE TECHNOLOGY CO., LIMITED weiter.\n\nIch bitte um schriftliche Rückmeldung innerhalb von 7 Tagen. Ich behalte mir ausdrücklich vor, den Vorgang bei der zuständigen Datenschutzaufsichtsbehörde zur Prüfung einzureichen, sofern keine angemessene Bearbeitung erfolgt.\n\nMit freundlichen Grüßen\n\nHelios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\n\nLars Böhm\nArzt Innere Medizin / Betriebsrat\nKlinik für Nephrologie und Hypertensiologie\n\nTel.: +49 611 43-1501\nE-Mail: Lars.Boehm@helios-gesundheit.de\n\nLudwig-Erhard-Straße 90 - 65199 Wiesbaden\nwww.helios-gesundheit.de/kliniken/wiesbaden-hsk (https://deref-web.de/mail/client/mWiq8FzF9-g/dereferrer/?redirectUrl=https%3A%2F%2Fderef-web.de%2Fmail%2Fclient%2Fio3jQ2TSn9o%2Fdereferrer%2F%3FredirectUrl%3Dhttps%253A%252F%252Fderef-web.de%252Fmail%252Fclient%252FbUwOCAfQCqo%252Fdereferrer%252F%253FredirectUrl%253Dhttps%25253A%25252F%25252Fderef-web.de%25252Fmail%25252Fclient%25252FJPQJdFHH0yU%25252Fdereferrer%25252F%25253FredirectUrl%25253Dhttp%2525253A%2525252F%2525252Fwww.helios-gesundheit.de%2525252Fkliniken%2525252Fwiesbaden-hsk)\n\nTräger: Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\nGeschäftsführer: Rungfa Saligmann, Michael Hofmann\nAufsichtsratsvorsitzende: Milena Löbcke\nSitz der Gesellschaft: Wiesbaden\nHandelsregister: Amtsgericht Wiesbaden HRB 10028",
    "status": "open",
    "priority": "normal",
    "product_model": "",
    "created_at": "2026-05-13T11:14:55Z",
    "updated_at": "2026-05-13T11:14:55Z"
  },
  "zendesk_fields": {
    "agents_notes_field_id": "34029476051481",
    "agents_notes_label": "5/14\nesc to complaint team as per sir william",
    "agents_notes": "5/14\nesc to complaint team as per sir william",
    "category_field_id": "34154549939865",
    "category_name": "Report::Report sensitive info",
    "category_value": "report__report_sensitive_info",
    "category_zh": "反馈敏感信息"
  },
  "channel_summary": {
    "local_channel": "Agent",
    "conversation_channels": {
      "email": 1
    }
  },
  "messages": [
    {
      "conversation_id": "57883249285401",
      "type": "Comment",
      "created_at": "2026-05-13T11:14:55Z",
      "author_id": "57882324198937",
      "author_name": "larsboehm@web.de",
      "author_role": "end-user",
      "sender_type": "customer",
      "channel": "email",
      "public": true,
      "recording_type": "",
      "text": "Sehr geehrtes Momcozy Support-Team, \n in Ihrer E-Mail vom 13.05.2026 mit dem Betreff „BM04 Upgrade Kit Receipt & Important Instructions“ wurden zahlreiche Empfängerinnen und Empfänger offenbar im sichtbaren CC-Verteiler angeschrieben. \n Dadurch wurden die E-Mail-Adressen von ca. 45 Einzelpersonen für alle anderen Empfänger sichtbar offengelegt. \n Nach meiner Einschätzung handelt es sich hierbei um eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DSGVO, da personenbezogene Daten unbeabsichtigt gegenüber unbefugten Dritten offengelegt wurden. \n Besonders kritisch erscheint der Kontext der Nachricht: Die E-Mail betrifft eine Babycamera bzw. ein BM04-Upgrade-Kit per USB-Stick. \n Damit wurden nicht nur E-Mail-Adressen offengelegt, sondern es können zusätzlich Rückschlüsse auf eine Kundeneigenschaft, die Nutzung eines bestimmten Produkts sowie möglicherweise private familiäre bzw. babybezogene Umstände gezogen werden. \n Aus datenschutzrechtlicher Sicht bestehen daher erhebliche Bedenken. Die Offenlegung der E-Mail-Adressen gegenüber anderen Kundinnen und Kunden ist für mich nicht durch eine erkennbare Rechtsgrundlage nach Art. 6 DSGVO gedeckt. Zudem spricht die Verwendung eines offenen CC-Verteilers für unzureichende technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, insbesondere im Hinblick auf Vertraulichkeit und den Schutz vor unbefugter Offenlegung personenbezogener Daten. \n Je nach Ergebnis Ihrer Risikobewertung können außerdem Melde- und Informationspflichten nach Art. 33 und Art. 34 DSGVO bestehen. Zu berücksichtigen sind hierbei insbesondere Risiken wie unerwünschte Kontaktaufnahme, Spam, Phishing, Profilbildung oder die unbeabsichtigte Offenlegung einer Kundenbeziehung in einem sensiblen Produktkontext. \n Ich bitte Sie daher um zeitnahe schriftliche Stellungnahme zu folgenden Punkten: \n \n Wurde der Vorfall intern als Datenschutzverletzung gemäß Art. 4 Nr. 12 DSGVO dokumentiert? \n Wurde eine formale Risikobewertung nach DSGVO durchgeführt? \n Wurde bzw. wird der Vorfall gemäß Art. 33 DSGVO der zuständigen Datenschutzaufsichtsbehörde gemeldet? \n Werden die betroffenen Personen gemäß Art. 34 DSGVO über den Vorfall informiert, sofern die gesetzlichen Voraussetzungen hierfür vorliegen? \n Welche technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO werden ergriffen, um eine Wiederholung auszuschließen? \n Bitte bestätigen Sie, dass meine personenbezogenen Daten künftig nicht erneut in offenen oder sichtbaren Empfängerverteilern verarbeitet werden. \n Bitte teilen Sie mir die Kontaktdaten Ihres Datenschutzbeauftragten bzw. der zuständigen Datenschutz-/Privacy-Abteilung mit. \n \n Bitte leiten Sie diese Nachricht an die zuständige Datenschutzabteilung bzw. den Datenschutzbeauftragten von Momcozy, ROOT Technology Ltd. und – soweit einschlägig – HONG KONG LUTE TECHNOLOGY CO., LIMITED weiter. \n Ich bitte um schriftliche Rückmeldung innerhalb von 7 Tagen. Ich behalte mir ausdrücklich vor, den Vorgang bei der zuständigen Datenschutzaufsichtsbehörde zur Prüfung einzureichen, sofern keine angemessene Bearbeitung erfolgt. \n Mit freundlichen Grüßen \n \n Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\n\nLars Böhm\nArzt Innere Medizin / Betriebsrat\nKlinik für Nephrologie und Hypertensiologie\n\nTel.: +49 611 43-1501\nE-Mail: Lars.Boehm@helios-gesundheit.de\n\nLudwig-Erhard-Straße 90 - 65199 Wiesbaden\nwww.helios-gesundheit.de/kliniken/wiesbaden-hsk\n\nTräger: Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\nGeschäftsführer: Rungfa Saligmann, Michael Hofmann\nAufsichtsratsvorsitzende: Milena Löbcke\nSitz der Gesellschaft: Wiesbaden\nHandelsregister: Amtsgericht Wiesbaden HRB 10028"
    }
  ]
}
翻译 JSON
{
  "translated_subject": "通过公开抄送名单导致的隐私泄露事件 – BM04 升级套件",
  "translated_description": "尊敬的 Momcozy 支持团队:\n\n在您 2026 年 5 月 13 日发送的主题为“BM04 Upgrade Kit Receipt & Important Instructions”的电子邮件中,显然是通过可见的抄送(CC)名单发送给了众多收件人。\n\n因此,约 45 名个人的电子邮件地址被公开,对所有其他收件人可见。\n\n根据我的评估,这构成《通用数据保护条例》(GDPR/DSGVO)第 4 条第 12 款所定义的数据泄露,因为个人数据在无意中泄露给了未经授权的第三方。\n\n邮件内容涉及婴儿监控摄像头或通过 USB 驱动器提供的 BM04 升级套件,这一点尤为严重。\n\n这不仅泄露了电子邮件地址,还可以据此推断出客户身份、特定产品的使用情况,以及可能涉及的私人家庭或婴儿相关的私人情况。\n\n从数据保护法律的角度来看,这存在严重隐患。对我而言,向其他客户披露电子邮件地址的行为在 GDPR 第 6 条中没有可识别的法律依据。此外,使用公开抄送名单表明在 GDPR 第 32 条意义上的技术和组织措施不足,特别是在机密性以及防止未经授权披露个人数据方面。\n\n根据风险评估结果,还可能存在 GDPR 第 33 条和第 34 条规定的报告和通知义务。此处尤其需要考虑以下风险:意外接触、垃圾邮件、钓鱼攻击、画像分析或在敏感产品背景下无意中披露的客户关系。\n\n因此,我要求您就以下几点及时提供书面答复:\n\n1. 该事件是否已按 GDPR 第 4 条第 12 款在内部记录为数据泄露?\n2. 是否根据 GDPR 进行了正式的风险评估?\n3. 该事件是否已根据 GDPR 第 33 条向相关数据保护监管机构报告?\n4. 如果符合法定条件,是否根据 GDPR 第 34 条向受影响人员通知该事件?\n5. 正在采取哪些符合 GDPR 第 32 条的技术和组织措施以防止再次发生?\n6. 请确认今后我的个人数据不会再次在公开或可见的收件人名单中被处理。\n7. 请向我提供您数据保护官或相关数据保护/隐私部门的联系方式。\n\n请将此消息转发给 Momcozy、ROOT Technology Ltd. 以及(如适用)HONG KONG LUTE TECHNOLOGY CO., LIMITED 的相关数据保护部门或数据保护官。\n\n我要求在 7 天内给予书面回复。若未得到妥善处理,我明确保留将此事提交给相关数据保护监管机构审查的权利。\n\n顺颂商祺\n\nHelios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\n\nLars Böhm\n内科医生 / 职工委员会成员\n肾脏病与高血压病科\n\n电话:+49 611 43-1501\n电子邮件:Lars.Boehm@helios-gesundheit.de\n\nLudwig-Erhard-Straße 90 - 65199 Wiesbaden\nwww.helios-gesundheit.de/kliniken/wiesbaden-hsk (https://deref-web.de/mail/client/mWiq8FzF9-g/dereferrer/?redirectUrl=https%3A%2F%2Fderef-web.de%2Fmail%2Fclient%2Fio3jQ2TSn9o%2Fdereferrer%2F%3FredirectUrl%3Dhttps%253A%252F%252Fderef-web.de%252Fmail%252Fclient%252FbUwOCAfQCqo%252Fdereferrer%252F%253FredirectUrl%253Dhttps%25253A%25252F%25252Fderef-web.de%25252Fmail%25252Fclient%25252FJPQJdFHH0yU%25252Fdereferrer%25252F%25253FredirectUrl%25253Dhttp%2525253A%2525252F%2525252Fwww.helios-gesundheit.de%2525252Fkliniken%2525252Fwiesbaden-hsk)\n\n运营方:Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\n总经理:Rungfa Saligmann, Michael Hofmann\n监事会主席:Milena Löbcke\n公司总部:Wiesbaden\n商业登记:Amtsgericht Wiesbaden HRB 10028",
  "translated_agents_notes": "5/14 根据 Sir William 的指示升级至投诉团队",
  "translated_category_label": "投诉/反馈敏感信息泄露",
  "translated_messages": [
    {
      "conversation_id": "57883249285401",
      "created_at": "2026-05-13T11:14:55Z",
      "sender_type": "customer",
      "author_name": "larsboehm@web.de",
      "channel": "email",
      "translated_text": "尊敬的 Momcozy 支持团队:\n\n在您 2026 年 5 月 13 日发送的主题为“BM04 Upgrade Kit Receipt & Important Instructions”的电子邮件中,显然是通过可见的抄送(CC)名单发送给了众多收件人。\n\n因此,约 45 名个人的电子邮件地址被公开,对所有其他收件人可见。\n\n根据我的评估,这构成《通用数据保护条例》(GDPR/DSGVO)第 4 条第 12 款所定义的数据泄露,因为个人数据在无意中泄露给了未经授权的第三方。\n\n邮件内容涉及婴儿监控摄像头或通过 USB 驱动器提供的 BM04 升级套件,这一点尤为严重。\n\n这不仅泄露了电子邮件地址,还可以据此推断出客户身份、特定产品的使用情况,以及可能涉及的私人家庭或婴儿相关的私人情况。\n\n从数据保护法律的角度来看,这存在严重隐患。对我而言,向其他客户披露电子邮件地址的行为在 GDPR 第 6 条中没有可识别的法律依据。此外,使用公开抄送名单表明在 GDPR 第 32 条意义上的技术和组织措施不足,特别是在机密性以及防止未经授权披露个人数据方面。\n\n根据风险评估结果,还可能存在 GDPR 第 33 条和第 34 条规定的报告和通知义务。此处尤其需要考虑以下风险:意外接触、垃圾邮件、钓鱼攻击、画像分析或在敏感产品背景下无意中披露的客户关系。\n\n因此,我要求您就以下几点及时提供书面答复:\n\n1. 该事件是否已按 GDPR 第 4 条第 12 款在内部记录为数据泄露?\n2. 是否根据 GDPR 进行了正式的风险评估?\n3. 该事件是否已根据 GDPR 第 33 条向相关数据保护监管机构报告?\n4. 如果符合法定条件,是否根据 GDPR 第 34 条向受影响人员通知该事件?\n5. 正在采取哪些符合 GDPR 第 32 条的技术和组织措施以防止再次发生?\n6. 请确认今后我的个人数据不会再次在公开或可见的收件人名单中被处理。\n7. 请向我提供您数据保护官或相关数据保护/隐私部门的联系方式。\n\n请将此消息转发给 Momcozy、ROOT Technology Ltd. 以及(如适用)HONG KONG LUTE TECHNOLOGY CO., LIMITED 的相关数据保护部门或数据保护官。\n\n我要求在 7 天内给予书面回复。若未得到妥善处理,我明确保留将此事提交给相关数据保护监管机构审查的权利。\n\n顺颂商祺\n\nHelios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\n\nLars Böhm\n内科医生 / 职工委员会成员\n肾脏病与高血压病科\n\n电话:+49 611 43-1501\n电子邮件:Lars.Boehm@helios-gesundheit.de\n\nLudwig-Erhard-Straße 90 - 65199 Wiesbaden\nwww.helios-gesundheit.de/kliniken/wiesbaden-hsk\n\n运营方:Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\n总经理:Rungfa Saligmann, Michael Hofmann\n监事会主席:Milena Löbcke\n公司总部:Wiesbaden\n商业登记:Amtsgericht Wiesbaden HRB 10028"
    }
  ],
  "chinese_reading_text": "【标题】:通过公开抄送名单导致的隐私泄露事件 – BM04 升级套件\n【分类】:投诉/反馈敏感信息泄露\n【渠道】:Email / Agent\n【客服备注】:5/14 根据 Sir William 的指示升级至投诉团队\n\n【会话详情】:\n[2026-05-13 Customer (larsboehm@web.de)]:\n客户投诉公司在 5 月 13 日发送 BM04 升级套件邮件时,错误地使用了公开抄送(CC)而非密送(BCC),导致约 45 名客户的邮箱地址互相可见。客户指出这违反了 GDPR (DSGVO) 的多项条款(第 4, 6, 32, 33, 34 条),不仅泄露了邮箱,还由于产品涉及婴儿监控器,关联到了敏感的个人家庭情况。客户要求 7 天内书面答复以下事项:内部泄露记录、风险评估结果、是否上报监管机构、受影响人员通知计划、预防措施、隐私官联系方式,并要求以后不再发生此类情况。若不解决,将向监管机构投诉。客户身份为德国某医院的内科医生/职工委员会成员。",
  "translation_notes": [
    "DSGVO 是德语中的 GDPR。",
    "文中提到的 BM04 是产品型号。",
    "Helios Dr. Horst Schmidt Kliniken 是德国威斯巴登的一家大型医院。"
  ]
}
ticket_raw_json
{
  "custom_fields": [
    {
      "id": 32685292044825,
      "value": "shopify_official_web",
      "name": "Shopify::Official web"
    },
    {
      "id": 33749938239513,
      "value": "electrical__baby_monitor__bm04",
      "name": "electrical::Baby Monitor::BM04"
    },
    {
      "id": 34029476051481,
      "value": "5/14\nesc to complaint team as per sir william"
    },
    {
      "id": 34154549939865,
      "value": "report__report_sensitive_info",
      "name": "Report::Report sensitive info"
    }
  ],
  "custom_status_id": 32358758515353,
  "ticket_id": 1254733,
  "assignee_id": 44223920873497,
  "created": "2026-05-13T11:14:55Z",
  "subject": "Datenschutzvorfall durch offenen CC-Verteiler – BM04 Upgrade Kit",
  "support_type": "Agent",
  "32685292044825": "Shopify::Official web",
  "33749938239513": "electrical::Baby Monitor::BM04",
  "34029476051481": "5/14\nesc to complaint team as per sir william",
  "34154549939865": "Report::Report sensitive info",
  "34154710239001": null,
  "fields": [
    {
      "id": 32685292044825,
      "value": "shopify_official_web",
      "name": "Shopify::Official web"
    },
    {
      "id": 33749938239513,
      "value": "electrical__baby_monitor__bm04",
      "name": "electrical::Baby Monitor::BM04"
    },
    {
      "id": 34029476051481,
      "value": "5/14\nesc to complaint team as per sir william"
    },
    {
      "id": 34154549939865,
      "value": "report__report_sensitive_info",
      "name": "Report::Report sensitive info"
    }
  ],
  "ticket": {
    "id": 1254733,
    "subject": "Datenschutzvorfall durch of...",
    "description": "Sehr geehrtes Momcozy Support-Team,\n\nin Ihrer E-Mail vom 13.05.2026 mit dem Betreff „BM04 Upgrade Kit Receipt & Important Instructions“ wurden zahlreiche Empfängerinnen und Empfänger offenbar im sichtbaren CC-Verteiler angeschrieben.\n\nDadurch wurden die E-Mail-Adressen von ca. 45 Einzelpersonen für alle anderen Empfänger sichtbar offengelegt.\n\nNach meiner Einschätzung handelt es sich hierbei um eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DSGVO, da personenbezogene Daten unbeabsichtigt gegenüber unbefugten Dritten offengelegt wurden.\n\nBesonders kritisch erscheint der Kontext der Nachricht: Die E-Mail betrifft eine Babycamera bzw. ein BM04-Upgrade-Kit per USB-Stick.\n\nDamit wurden nicht nur E-Mail-Adressen offengelegt, sondern es können zusätzlich Rückschlüsse auf eine Kundeneigenschaft, die Nutzung eines bestimmten Produkts sowie möglicherweise private familiäre bzw. babybezogene Umstände gezogen werden.\n\nAus datenschutzrechtlicher Sicht bestehen daher erhebliche Bedenken. Die Offenlegung der E-Mail-Adressen gegenüber anderen Kundinnen und Kunden ist für mich nicht durch eine erkennbare Rechtsgrundlage nach Art. 6 DSGVO gedeckt. Zudem spricht die Verwendung eines offenen CC-Verteilers für unzureichende technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, insbesondere im Hinblick auf Vertraulichkeit und den Schutz vor unbefugter Offenlegung personenbezogener Daten.\n\nJe nach Ergebnis Ihrer Risikobewertung können außerdem Melde- und Informationspflichten nach Art. 33 und Art. 34 DSGVO bestehen. Zu berücksichtigen sind hierbei insbesondere Risiken wie unerwünschte Kontaktaufnahme, Spam, Phishing, Profilbildung oder die unbeabsichtigte Offenlegung einer Kundenbeziehung in einem sensiblen Produktkontext.\n\nIch bitte Sie daher um zeitnahe schriftliche Stellungnahme zu folgenden Punkten:\n\n1. Wurde der Vorfall intern als Datenschutzverletzung gemäß Art. 4 Nr. 12 DSGVO dokumentiert?\n2. Wurde eine formale Risikobewertung nach DSGVO durchgeführt?\n3. Wurde bzw. wird der Vorfall gemäß Art. 33 DSGVO der zuständigen Datenschutzaufsichtsbehörde gemeldet?\n4. Werden die betroffenen Personen gemäß Art. 34 DSGVO über den Vorfall informiert, sofern die gesetzlichen Voraussetzungen hierfür vorliegen?\n5. Welche technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO werden ergriffen, um eine Wiederholung auszuschließen?\n6. Bitte bestätigen Sie, dass meine personenbezogenen Daten künftig nicht erneut in offenen oder sichtbaren Empfängerverteilern verarbeitet werden.\n7. Bitte teilen Sie mir die Kontaktdaten Ihres Datenschutzbeauftragten bzw. der zuständigen Datenschutz-/Privacy-Abteilung mit.\n\nBitte leiten Sie diese Nachricht an die zuständige Datenschutzabteilung bzw. den Datenschutzbeauftragten von Momcozy, ROOT Technology Ltd. und – soweit einschlägig – HONG KONG LUTE TECHNOLOGY CO., LIMITED weiter.\n\nIch bitte um schriftliche Rückmeldung innerhalb von 7 Tagen. Ich behalte mir ausdrücklich vor, den Vorgang bei der zuständigen Datenschutzaufsichtsbehörde zur Prüfung einzureichen, sofern keine angemessene Bearbeitung erfolgt.\n\nMit freundlichen Grüßen\n\nHelios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\n\nLars Böhm\nArzt Innere Medizin / Betriebsrat\nKlinik für Nephrologie und Hypertensiologie\n\nTel.: +49 611 43-1501\nE-Mail: Lars.Boehm@helios-gesundheit.de\n\nLudwig-Erhard-Straße 90 - 65199 Wiesbaden\nwww.helios-gesundheit.de/kliniken/wiesbaden-hsk (https://deref-web.de/mail/client/mWiq8FzF9-g/dereferrer/?redirectUrl=https%3A%2F%2Fderef-web.de%2Fmail%2Fclient%2Fio3jQ2TSn9o%2Fdereferrer%2F%3FredirectUrl%3Dhttps%253A%252F%252Fderef-web.de%252Fmail%252Fclient%252FbUwOCAfQCqo%252Fdereferrer%252F%253FredirectUrl%253Dhttps%25253A%25252F%25252Fderef-web.de%25252Fmail%25252Fclient%25252FJPQJdFHH0yU%25252Fdereferrer%25252F%25253FredirectUrl%25253Dhttp%2525253A%2525252F%2525252Fwww.helios-gesundheit.de%2525252Fkliniken%2525252Fwiesbaden-hsk)\n\nTräger: Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\nGeschäftsführer: Rungfa Saligmann, Michael Hofmann\nAufsichtsratsvorsitzende: Milena Löbcke\nSitz der Gesellschaft: Wiesbaden\nHandelsregister: Amtsgericht Wiesbaden HRB 10028",
    "is_group_public": true,
    "status": "open",
    "type": "incident",
    "priority": "normal",
    "url": "https://rootglobal.zendesk.com/api/v2/tickets/1254733.json",
    "custom_status_id": 32358758515353,
    "brand_id": 32404259465241,
    "last_comment": {
      "id": 57883249285401,
      "body": "Sehr geehrtes Momcozy Support-Team, \n in Ihrer E-Mail vom 13.05.2026 mit dem Betreff „BM04 Upgrade Kit Receipt & Important Instructions“ wurden zahlreiche Empfängerinnen und Empfänger offenbar im sichtbaren CC-Verteiler angeschrieben. \n Dadurch wurden die E-Mail-Adressen von ca. 45 Einzelpersonen für alle anderen Empfänger sichtbar offengelegt. \n Nach meiner Einschätzung handelt es sich hierbei um eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DSGVO, da personenbezogene Daten unbeabsichtigt gegenüber unbefugten Dritten offengelegt wurden. \n Besonders kritisch erscheint der Kontext der Nachricht: Die E-Mail betrifft eine Babycamera bzw. ein BM04-Upgrade-Kit per USB-Stick. \n Damit wurden nicht nur E-Mail-Adressen offengelegt, sondern es können zusätzlich Rückschlüsse auf eine Kundeneigenschaft, die Nutzung eines bestimmten Produkts sowie möglicherweise private familiäre bzw. babybezogene Umstände gezogen werden. \n Aus datenschutzrechtlicher Sicht bestehen daher erhebliche Bedenken. Die Offenlegung der E-Mail-Adressen gegenüber anderen Kundinnen und Kunden ist für mich nicht durch eine erkennbare Rechtsgrundlage nach Art. 6 DSGVO gedeckt. Zudem spricht die Verwendung eines offenen CC-Verteilers für unzureichende technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, insbesondere im Hinblick auf Vertraulichkeit und den Schutz vor unbefugter Offenlegung personenbezogener Daten. \n Je nach Ergebnis Ihrer Risikobewertung können außerdem Melde- und Informationspflichten nach Art. 33 und Art. 34 DSGVO bestehen. Zu berücksichtigen sind hierbei insbesondere Risiken wie unerwünschte Kontaktaufnahme, Spam, Phishing, Profilbildung oder die unbeabsichtigte Offenlegung einer Kundenbeziehung in einem sensiblen Produktkontext. \n Ich bitte Sie daher um zeitnahe schriftliche Stellungnahme zu folgenden Punkten: \n \n Wurde der Vorfall intern als Datenschutzverletzung gemäß Art. 4 Nr. 12 DSGVO dokumentiert? \n Wurde eine formale Risikobewertung nach DSGVO durchgeführt? \n Wurde bzw. wird der Vorfall gemäß Art. 33 DSGVO der zuständigen Datenschutzaufsichtsbehörde gemeldet? \n Werden die betroffenen Personen gemäß Art. 34 DSGVO über den Vorfall informiert, sofern die gesetzlichen Voraussetzungen hierfür vorliegen? \n Welche technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO werden ergriffen, um eine Wiederholung auszuschließen? \n Bitte bestätigen Sie, dass meine personenbezogenen Daten künftig nicht erneut in offenen oder sichtbaren Empfängerverteilern verarbeitet werden. \n Bitte teilen Sie mir die Kontaktdaten Ihres Datenschutzbeauftragten bzw. der zuständigen Datenschutz-/Privacy-Abteilung mit. \n \n Bitte leiten Sie diese Nachricht an die zuständige Datenschutzabteilung bzw. den Datenschutzbeauftragten von Momcozy, ROOT Technology Ltd. und – soweit einschlägig – HONG KONG LUTE TECHNOLOGY CO., LIMITED weiter. \n Ich bitte um schriftliche Rückmeldung innerhalb von 7 Tagen. Ich behalte mir ausdrücklich vor, den Vorgang bei der zuständigen Datenschutzaufsichtsbehörde zur Prüfung einzureichen, sofern keine angemessene Bearbeitung erfolgt. \n Mit freundlichen Grüßen \n \n Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\n\nLars Böhm\nArzt Innere Medizin / Betriebsrat\nKlinik für Nephrologie und Hypertensiologie\n\nTel.: +49 611 43-1501\nE-Mail: Lars.Boehm@helios-gesundheit.de\n\nLudwig-Erhard-Straße 90 - 65199 Wiesbaden\nwww.helios-gesundheit.de/kliniken/wiesbaden-hsk\n\nTräger: Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\nGeschäftsführer: Rungfa Saligmann, Michael Hofmann\nAufsichtsratsvorsitzende: Milena Löbcke\nSitz der Gesellschaft: Wiesbaden\nHandelsregister: Amtsgericht Wiesbaden HRB 10028 \n  ",
      "created_at": "2026-05-13T11:14:55Z",
      "author_id": 57882324198937,
      "public": true
    }
  }
}
conversation_raw_json
{
  "conversations": [
    {
      "id": 57883249285401,
      "type": "Comment",
      "author_id": 57882324198937,
      "body": "Sehr geehrtes Momcozy Support-Team,\n\nin Ihrer E-Mail vom 13.05.2026 mit dem Betreff „BM04 Upgrade Kit Receipt & Important Instructions“ wurden zahlreiche Empfängerinnen und Empfänger offenbar im sichtbaren CC-Verteiler angeschrieben.\n\nDadurch wurden die E-Mail-Adressen von ca. 45 Einzelpersonen für alle anderen Empfänger sichtbar offengelegt.\n\nNach meiner Einschätzung handelt es sich hierbei um eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DSGVO, da personenbezogene Daten unbeabsichtigt gegenüber unbefugten Dritten offengelegt wurden.\n\nBesonders kritisch erscheint der Kontext der Nachricht: Die E-Mail betrifft eine Babycamera bzw. ein BM04-Upgrade-Kit per USB-Stick.\n\nDamit wurden nicht nur E-Mail-Adressen offengelegt, sondern es können zusätzlich Rückschlüsse auf eine Kundeneigenschaft, die Nutzung eines bestimmten Produkts sowie möglicherweise private familiäre bzw. babybezogene Umstände gezogen werden.\n\nAus datenschutzrechtlicher Sicht bestehen daher erhebliche Bedenken. Die Offenlegung der E-Mail-Adressen gegenüber anderen Kundinnen und Kunden ist für mich nicht durch eine erkennbare Rechtsgrundlage nach Art. 6 DSGVO gedeckt. Zudem spricht die Verwendung eines offenen CC-Verteilers für unzureichende technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, insbesondere im Hinblick auf Vertraulichkeit und den Schutz vor unbefugter Offenlegung personenbezogener Daten.\n\nJe nach Ergebnis Ihrer Risikobewertung können außerdem Melde- und Informationspflichten nach Art. 33 und Art. 34 DSGVO bestehen. Zu berücksichtigen sind hierbei insbesondere Risiken wie unerwünschte Kontaktaufnahme, Spam, Phishing, Profilbildung oder die unbeabsichtigte Offenlegung einer Kundenbeziehung in einem sensiblen Produktkontext.\n\nIch bitte Sie daher um zeitnahe schriftliche Stellungnahme zu folgenden Punkten:\n1. Wurde der Vorfall intern als Datenschutzverletzung gemäß Art. 4 Nr. 12 DSGVO dokumentiert?\n2. Wurde eine formale Risikobewertung nach DSGVO durchgeführt?\n3. Wurde bzw. wird der Vorfall gemäß Art. 33 DSGVO der zuständigen Datenschutzaufsichtsbehörde gemeldet?\n4. Werden die betroffenen Personen gemäß Art. 34 DSGVO über den Vorfall informiert, sofern die gesetzlichen Voraussetzungen hierfür vorliegen?\n5. Welche technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO werden ergriffen, um eine Wiederholung auszuschließen?\n6. Bitte bestätigen Sie, dass meine personenbezogenen Daten künftig nicht erneut in offenen oder sichtbaren Empfängerverteilern verarbeitet werden.\n7. Bitte teilen Sie mir die Kontaktdaten Ihres Datenschutzbeauftragten bzw. der zuständigen Datenschutz-/Privacy-Abteilung mit.\n\nBitte leiten Sie diese Nachricht an die zuständige Datenschutzabteilung bzw. den Datenschutzbeauftragten von Momcozy, ROOT Technology Ltd. und – soweit einschlägig – HONG KONG LUTE TECHNOLOGY CO., LIMITED weiter.\n\nIch bitte um schriftliche Rückmeldung innerhalb von 7 Tagen. Ich behalte mir ausdrücklich vor, den Vorgang bei der zuständigen Datenschutzaufsichtsbehörde zur Prüfung einzureichen, sofern keine angemessene Bearbeitung erfolgt.\n\nMit freundlichen Grüßen\n\n**Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH**\n\nLars Böhm\nArzt Innere Medizin / Betriebsrat\nKlinik für Nephrologie und Hypertensiologie\n\nTel.: +49 611 43-1501\nE-Mail: Lars.Boehm@helios-gesundheit.de\n\nLudwig-Erhard-Straße 90 - 65199 Wiesbaden\nwww.helios-gesundheit.de/kliniken/wiesbaden-hsk\n\n**Träger:** Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\n**Geschäftsführer:** Rungfa Saligmann, Michael Hofmann\n**Aufsichtsratsvorsitzende:** Milena Löbcke\n**Sitz der Gesellschaft:** Wiesbaden\n**Handelsregister:** Amtsgericht Wiesbaden HRB 10028",
      "html_body": "<div class=\"zd-comment zd-comment-pre-styled\" dir=\"auto\"><div style=\" font-size: 12.0px; color: #000000;\">\n<p dir=\"auto\">Sehr geehrtes Momcozy Support-Team,</p>\n<p dir=\"auto\">in Ihrer E-Mail vom 13.05.2026 mit dem Betreff „BM04 Upgrade Kit Receipt &amp; Important Instructions“ wurden zahlreiche Empfängerinnen und Empfänger offenbar im sichtbaren CC-Verteiler angeschrieben.</p>\n<p dir=\"auto\">Dadurch wurden die E-Mail-Adressen von ca. 45 Einzelpersonen für alle anderen Empfänger sichtbar offengelegt.</p>\n<p dir=\"auto\">Nach meiner Einschätzung handelt es sich hierbei um eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DSGVO, da personenbezogene Daten unbeabsichtigt gegenüber unbefugten Dritten offengelegt wurden.</p>\n<p dir=\"auto\">Besonders kritisch erscheint der Kontext der Nachricht: Die E-Mail betrifft eine Babycamera bzw. ein BM04-Upgrade-Kit per USB-Stick.</p>\n<p dir=\"auto\">Damit wurden nicht nur E-Mail-Adressen offengelegt, sondern es können zusätzlich Rückschlüsse auf eine Kundeneigenschaft, die Nutzung eines bestimmten Produkts sowie möglicherweise private familiäre bzw. babybezogene Umstände gezogen werden.</p>\n<p dir=\"auto\">Aus datenschutzrechtlicher Sicht bestehen daher erhebliche Bedenken. Die Offenlegung der E-Mail-Adressen gegenüber anderen Kundinnen und Kunden ist für mich nicht durch eine erkennbare Rechtsgrundlage nach Art. 6 DSGVO gedeckt. Zudem spricht die Verwendung eines offenen CC-Verteilers für unzureichende technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, insbesondere im Hinblick auf Vertraulichkeit und den Schutz vor unbefugter Offenlegung personenbezogener Daten.</p>\n<p dir=\"auto\">Je nach Ergebnis Ihrer Risikobewertung können außerdem Melde- und Informationspflichten nach Art. 33 und Art. 34 DSGVO bestehen. Zu berücksichtigen sind hierbei insbesondere Risiken wie unerwünschte Kontaktaufnahme, Spam, Phishing, Profilbildung oder die unbeabsichtigte Offenlegung einer Kundenbeziehung in einem sensiblen Produktkontext.</p>\n<p dir=\"auto\">Ich bitte Sie daher um zeitnahe schriftliche Stellungnahme zu folgenden Punkten:</p>\n<ol start=\"1\" dir=\"auto\">\n<li>Wurde der Vorfall intern als Datenschutzverletzung gemäß Art. 4 Nr. 12 DSGVO dokumentiert?</li>\n<li>Wurde eine formale Risikobewertung nach DSGVO durchgeführt?</li>\n<li>Wurde bzw. wird der Vorfall gemäß Art. 33 DSGVO der zuständigen Datenschutzaufsichtsbehörde gemeldet?</li>\n<li>Werden die betroffenen Personen gemäß Art. 34 DSGVO über den Vorfall informiert, sofern die gesetzlichen Voraussetzungen hierfür vorliegen?</li>\n<li>Welche technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO werden ergriffen, um eine Wiederholung auszuschließen?</li>\n<li>Bitte bestätigen Sie, dass meine personenbezogenen Daten künftig nicht erneut in offenen oder sichtbaren Empfängerverteilern verarbeitet werden.</li>\n<li>Bitte teilen Sie mir die Kontaktdaten Ihres Datenschutzbeauftragten bzw. der zuständigen Datenschutz-/Privacy-Abteilung mit.</li>\n</ol>\n<p dir=\"auto\">Bitte leiten Sie diese Nachricht an die zuständige Datenschutzabteilung bzw. den Datenschutzbeauftragten von Momcozy, ROOT Technology Ltd. und – soweit einschlägig – HONG KONG LUTE TECHNOLOGY CO., LIMITED weiter.</p>\n<p dir=\"auto\">Ich bitte um schriftliche Rückmeldung innerhalb von 7 Tagen. Ich behalte mir ausdrücklich vor, den Vorgang bei der zuständigen Datenschutzaufsichtsbehörde zur Prüfung einzureichen, sofern keine angemessene Bearbeitung erfolgt.</p>\n<p dir=\"auto\">Mit freundlichen Grüßen</p>\n</div>\n<div style=\" font-size: 12.0px; color: #000000;\"><strong>Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH</strong><br><br>Lars Böhm<br>Arzt Innere Medizin / Betriebsrat<br>Klinik für Nephrologie und Hypertensiologie<br><br>Tel.: +49 611 43-1501<br>E-Mail:&nbsp;<a href=\"mailto:Lars.Boehm@helios-gesundheit.de\" rel=\"noreferrer\">Lars.Boehm@helios-gesundheit.de</a><br><br>Ludwig-Erhard-Straße 90 - 65199 Wiesbaden<br><a href=\"https://deref-web.de/mail/client/mWiq8FzF9-g/dereferrer/?redirectUrl=https%3A%2F%2Fderef-web.de%2Fmail%2Fclient%2Fio3jQ2TSn9o%2Fdereferrer%2F%3FredirectUrl%3Dhttps%253A%252F%252Fderef-web.de%252Fmail%252Fclient%252FbUwOCAfQCqo%252Fdereferrer%252F%253FredirectUrl%253Dhttps%25253A%25252F%25252Fderef-web.de%25252Fmail%25252Fclient%25252FJPQJdFHH0yU%25252Fdereferrer%25252F%25253FredirectUrl%25253Dhttp%2525253A%2525252F%2525252Fwww.helios-gesundheit.de%2525252Fkliniken%2525252Fwiesbaden-hsk\" rel=\"noreferrer\">www.helios-gesundheit.de/kliniken/wiesbaden-hsk</a><br><br><strong>Träger:</strong><span>&nbsp;Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH</span><br><strong>Geschäftsführer:</strong><span>&nbsp;Rungfa Saligmann, Michael Hofmann</span><br><strong>Aufsichtsratsvorsitzende:</strong><span>&nbsp;Milena Löbcke</span><br><strong>Sitz der Gesellschaft:</strong><span>&nbsp;Wiesbaden</span><br><strong>Handelsregister:</strong><span>&nbsp;Amtsgericht Wiesbaden HRB 10028</span></div>\n<div style=\" font-size: 12.0px; color: #000000;\">&nbsp;</div></div>",
      "plain_body": "Sehr geehrtes Momcozy Support-Team, \n in Ihrer E-Mail vom 13.05.2026 mit dem Betreff „BM04 Upgrade Kit Receipt &amp; Important Instructions“ wurden zahlreiche Empfängerinnen und Empfänger offenbar im sichtbaren CC-Verteiler angeschrieben. \n Dadurch wurden die E-Mail-Adressen von ca. 45 Einzelpersonen für alle anderen Empfänger sichtbar offengelegt. \n Nach meiner Einschätzung handelt es sich hierbei um eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DSGVO, da personenbezogene Daten unbeabsichtigt gegenüber unbefugten Dritten offengelegt wurden. \n Besonders kritisch erscheint der Kontext der Nachricht: Die E-Mail betrifft eine Babycamera bzw. ein BM04-Upgrade-Kit per USB-Stick. \n Damit wurden nicht nur E-Mail-Adressen offengelegt, sondern es können zusätzlich Rückschlüsse auf eine Kundeneigenschaft, die Nutzung eines bestimmten Produkts sowie möglicherweise private familiäre bzw. babybezogene Umstände gezogen werden. \n Aus datenschutzrechtlicher Sicht bestehen daher erhebliche Bedenken. Die Offenlegung der E-Mail-Adressen gegenüber anderen Kundinnen und Kunden ist für mich nicht durch eine erkennbare Rechtsgrundlage nach Art. 6 DSGVO gedeckt. Zudem spricht die Verwendung eines offenen CC-Verteilers für unzureichende technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, insbesondere im Hinblick auf Vertraulichkeit und den Schutz vor unbefugter Offenlegung personenbezogener Daten. \n Je nach Ergebnis Ihrer Risikobewertung können außerdem Melde- und Informationspflichten nach Art. 33 und Art. 34 DSGVO bestehen. Zu berücksichtigen sind hierbei insbesondere Risiken wie unerwünschte Kontaktaufnahme, Spam, Phishing, Profilbildung oder die unbeabsichtigte Offenlegung einer Kundenbeziehung in einem sensiblen Produktkontext. \n Ich bitte Sie daher um zeitnahe schriftliche Stellungnahme zu folgenden Punkten: \n \n Wurde der Vorfall intern als Datenschutzverletzung gemäß Art. 4 Nr. 12 DSGVO dokumentiert? \n Wurde eine formale Risikobewertung nach DSGVO durchgeführt? \n Wurde bzw. wird der Vorfall gemäß Art. 33 DSGVO der zuständigen Datenschutzaufsichtsbehörde gemeldet? \n Werden die betroffenen Personen gemäß Art. 34 DSGVO über den Vorfall informiert, sofern die gesetzlichen Voraussetzungen hierfür vorliegen? \n Welche technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO werden ergriffen, um eine Wiederholung auszuschließen? \n Bitte bestätigen Sie, dass meine personenbezogenen Daten künftig nicht erneut in offenen oder sichtbaren Empfängerverteilern verarbeitet werden. \n Bitte teilen Sie mir die Kontaktdaten Ihres Datenschutzbeauftragten bzw. der zuständigen Datenschutz-/Privacy-Abteilung mit. \n \n Bitte leiten Sie diese Nachricht an die zuständige Datenschutzabteilung bzw. den Datenschutzbeauftragten von Momcozy, ROOT Technology Ltd. und – soweit einschlägig – HONG KONG LUTE TECHNOLOGY CO., LIMITED weiter. \n Ich bitte um schriftliche Rückmeldung innerhalb von 7 Tagen. Ich behalte mir ausdrücklich vor, den Vorgang bei der zuständigen Datenschutzaufsichtsbehörde zur Prüfung einzureichen, sofern keine angemessene Bearbeitung erfolgt. \n Mit freundlichen Grüßen \n \n Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\n\nLars Böhm\nArzt Innere Medizin / Betriebsrat\nKlinik für Nephrologie und Hypertensiologie\n\nTel.: +49 611 43-1501\nE-Mail:&nbsp;Lars.Boehm@helios-gesundheit.de\n\nLudwig-Erhard-Straße 90 - 65199 Wiesbaden\nwww.helios-gesundheit.de/kliniken/wiesbaden-hsk\n\nTräger:&nbsp;Helios Dr. Horst Schmidt Kliniken Wiesbaden GmbH\nGeschäftsführer:&nbsp;Rungfa Saligmann, Michael Hofmann\nAufsichtsratsvorsitzende:&nbsp;Milena Löbcke\nSitz der Gesellschaft:&nbsp;Wiesbaden\nHandelsregister:&nbsp;Amtsgericht Wiesbaden HRB 10028 \n &nbsp;",
      "public": true,
      "attachments": [
        {
          "url": "https://rootglobal.zendesk.com/api/v2/attachments/57883249289369.json",
          "id": 57883249289369,
          "file_name": "Momcozy Re_ Re_ Follow-up_ BM04 Upgrade Kit Receipt & Important Instructions.pdf",
          "content_url": "https://rootglobal.zendesk.com/attachments/token/WxAfLRvLeshqjDfTTSp9Sc1j5/?name=Momcozy+Re_+Re_+Follow-up_+BM04+Upgrade+Kit+Receipt+%26+Important+Instructions.pdf",
          "mapped_content_url": "https://rootglobal.zendesk.com/attachments/token/WxAfLRvLeshqjDfTTSp9Sc1j5/?name=Momcozy+Re_+Re_+Follow-up_+BM04+Upgrade+Kit+Receipt+%26+Important+Instructions.pdf",
          "content_type": "application/pdf",
          "size": 111056,
          "width": null,
          "height": null,
          "inline": false,
          "deleted": false,
          "malware_access_override": false,
          "malware_scan_result": "malware_not_found",
          "thumbnails": []
        }
      ],
      "audit_id": 57883249285273,
      "locale": "de",
      "outbound_locale": null,
      "translations": [],
      "via": {
        "channel": "email",
        "source": {
          "from": {
            "address": "larsboehm@web.de",
            "name": "larsboehm@web.de",
            "original_recipients": [
              "larsboehm@web.de",
              "support@momcozy.com"
            ]
          },
          "to": {
            "name": "Momcozy support",
            "address": "support@momcozy.com"
          },
          "rel": null
        }
      },
      "created_at": "2026-05-13T11:14:55Z",
      "metadata": {
        "system": {
          "message_id": "<trinity-eea9cfc9-7b4e-43b1-af54-96cfecbeb2c2-1778670883991@trinity-msg-rest-webde-webde-live-55ddf9cbd9-728qd>",
          "email_id": "01KRGGQW92YCXCADWGJBKCNVSE",
          "ip_address": "217.248.99.101",
          "raw_email_identifier": "20869961/123add31-b72b-43e4-b958-6103bbdaf9d0.eml",
          "json_email_identifier": "20869961/123add31-b72b-43e4-b958-6103bbdaf9d0.json",
          "eml_redacted": false,
          "location": "Wiesbaden, HE, Germany",
          "latitude": 50.1129,
          "longitude": 8.1967
        },
        "custom": {},
        "suspension_type_id": null
      }
    }
  ],
  "users": [
    {
      "id": 57882324198937,
      "url": "https://rootglobal.zendesk.com/api/v2/users/57882324198937.json",
      "name": "larsboehm@web.de",
      "email": "larsboehm@web.de",
      "created_at": "2026-05-13T10:44:48Z",
      "updated_at": "2026-05-13T10:44:48Z",
      "time_zone": "Asia/Hong_Kong",
      "iana_time_zone": "Asia/Hong_Kong",
      "phone": null,
      "shared_phone_number": null,
      "photo": null,
      "locale_id": 1,
      "locale": "en-US",
      "organization_id": null,
      "role": "end-user",
      "verified": false,
      "external_id": null,
      "tags": [],
      "alias": null,
      "active": true,
      "shared": false,
      "shared_agent": false,
      "last_login_at": null,
      "two_factor_auth_enabled": null,
      "signature": null,
      "details": null,
      "notes": null,
      "role_type": null,
      "custom_role_id": null,
      "is_billing_admin": null,
      "moderator": false,
      "ticket_restriction": "requested",
      "only_private_comments": false,
      "restricted_agent": true,
      "suspended": false,
      "default_group_id": null,
      "report_csv": false,
      "user_fields": {
        "model": null,
        "phone": null,
        "consumption_details": null,
        "age_information": null,
        "user_personal_information": null,
        "weight_information": null,
        "intentional_product_details": null,
        "size_details": null,
        "pregnancy_and_lactation_cycle": null,
        "order_details": null,
        "appid": null
      },
      "suspension_details": null
    }
  ],
  "next_page": null,
  "previous_page": null,
  "count": 1
}