Wenn sensible Bankdaten z.B. geklaut werden, oder andere persönliche Daten, hat man keine juristische Handhabe gegen die Firmen, solange kein Schaden entstanden ist, aber potentiell jederzeit eintreten könnte ..... ist das eigentlich immer noch so in der EU?
Welche Handhabe hat der User gegen Firmen bei Datenklau?
- Ersteller T500_2082
- Erstellt am
- Status
StefanW.
Rather active member
- Registriert
- 1 Okt. 2008
- Beiträge
- 4.483
Art. 82 DSGVO – Haftung und Recht auf Schadenersatz
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. 1Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden...
dsgvo-gesetz.de
- Registriert
- 20 Apr. 2007
- Beiträge
- 79.021
Die einzige sichere Handhabe gegen Datenklau ist "keine Daten weitergeben". - Alles andere ist eine Illusion.
Tja... - aber wenn man in Spanien ein Auto gemietet hat (#1), dürfte das kaum ohne die Weitergabe von Ausweis-, Führerschein- und Kreditkartendaten funktioniert haben.
ahoellrigl
Rather active member
- Registriert
- 10 Mai 2017
- Beiträge
- 1.257
Was ist denn gemeint mit "juristischer Handhabe"? Zivilrecht oder Strafrecht?
Über das Zivilrecht kann man einen Schadenersatz dann erstreiten, wenn man einen Schaden geltend machen kann. Ohne Schaden ist es kein Fall für die Justiz.
Im Strafrecht ist bei einem Datenklau von einem Datenverarbeiter zuerst einmal der Diebstahl die Straftat, der Dieb der Täter und das Unternehmen der Geschädigte. Der Kunde wird dann zum Geschädigten im strafrechtlichen Sinn, wenn mit seinen erbeuteten Daten kriminelle Dinge getan werden. Aber dann ist der Täter derjenige, der diese kriminellen Dinge tut, nicht der Datenverarbeiter. Der wird nur dann zu einem Täter im strafrechtlichen Sinn, wenn man ihm nachweisen kann, dass er gegen einschlägige Gesetze verstoßen hat.
Oder kurz und sehr vereinfachend:
Zivilrecht - Schadenersatz von einem Verantwortlichen bei nachgewiesenem Schaden
Strafrecht - Strafe für einen Täter bei nachgewiesener Straftat
Der imm. Schaden ist doch schon dadurch entstanden, dass man sich eine neue E-Mail und neue Kreditkarte besorgen muss, die neue zigfach neu hinterlegt wird, etc., etc. Es sollte sofort bei Entwendung von pers. Daten eine Entschädigung fällig werden, die die Firmen wiederum (rück-)versichern könnten, so würde ein Schuh draus. Und der sog. Markt wiederum würde tatsächlich alles regeln, wie es so schön heißt immer ...... und Strafrecht bzw. Verwaltungsrecht auch: Geldbuße muss sein, schließlich zahlen die Firmen selten das Lösegeld, wodurch erst überhauot zu einem Sachschaden kommen kann, Schuld sind sie allemal, so oder so.
Was nicht sein kann ist, dass rein gar nichts passiert, so wie zur Zeit.
Was nicht sein kann ist, dass rein gar nichts passiert, so wie zur Zeit.
Zuletzt bearbeitet:
StefanW.
Rather active member
- Registriert
- 1 Okt. 2008
- Beiträge
- 4.483
Was Du als Kunde dann indirekt auch finanzierst.
Meine Kreditkartendaten habe ich nirgendwo "hinterlegt" und normalerweise ist sie nur für Deutschland und Luxemburg freigeschaltet. Wenn ich in ein anderes Land reise, dann habe ich das entsprechende Häkchen im OnlineBanking in 1 Minute gesetzt.
Man hat doch sowieso >1 Mailadresse. Ich sehe das Problem nicht.
Sollte der Anbieter fahrlässig gehandelt haben, dann darf ihm gerne eine Strafe aufgebrummt werden. Solange mir als Endkunden kein tatsächlicher finanzieller Schaden entstanden ist, sehe ich nicht, wofür ich eine Geldzahlung bekommen sollte.
Mango Bango
Active member
- Registriert
- 10 Apr. 2009
- Beiträge
- 3.361
Ich schließe mich der Auffassung an, dass ein datenverarbeitendes Unternehmen Sorge zu tragen hat, dass mit den (häufig unnötig oder zu weiteren dubiosen Gewinnmaximierungsabsichten) erhobenen Daten angemessen umgegangen wird. Wenn es zum Abfluss von Daten kommt, ergibt sich meiner Meinung nach immer der Verdacht, dass das Unternehmen einen Fehler im Umgang mit diesen Daten begangen hat, weswegen ein Bußgeld erhoben werden sollte. Korrekter Umgang = kein Abfluss, fehlerhafter Umgang = Datenabfluss.
Dem Unternehmen ist auf diesem Wege immer noch möglich, das Gegenteil nachzuweisen. Dabei kann gern Nachsicht und ein weiter Rahmen gewählt werden. Ist aber (wie in der Vergangenheit wohl häufig der Fall) erkennbar, dass uneingeschränkte Rechte vergeben wurden, Updates nicht vollzogen oder andere offensichtliche Fehler begangen wurden, dann könnten angemessene Bußgelder dazu führen, dass endlich in eine bessere Sicherheitsinfrastruktur investiert wird.
Dem Unternehmen ist auf diesem Wege immer noch möglich, das Gegenteil nachzuweisen. Dabei kann gern Nachsicht und ein weiter Rahmen gewählt werden. Ist aber (wie in der Vergangenheit wohl häufig der Fall) erkennbar, dass uneingeschränkte Rechte vergeben wurden, Updates nicht vollzogen oder andere offensichtliche Fehler begangen wurden, dann könnten angemessene Bußgelder dazu führen, dass endlich in eine bessere Sicherheitsinfrastruktur investiert wird.
Schon die DSGVO bietet da einige Möglichkeiten:
Kapitel 3 - Rechte der betroffenen Person
Auskunkft, löschen, einschränken der Verarbeitung etc. mit relativ kurzen Fristen für die Verursacher. Fristen findet man in Art. 12
Anträge gemäß Art. 15, 17, 18, 21 beim Verursacher können schon einigen Stau aufwirbeln!
Bei einem Verdacht auf mißbräuchliche Verwedung von Daten würde ich auf alle Fälle je nach Situation einen Antrag gemäß Art. 15 DSGVO - Auskunftsrecht der betroffenen Person oder Art. 17 DSGVO - Recht auf Löschung ("Recht auf Vergessenwerden") beim Verursacher stellen. Das geht einfach und formlos.
Bei Fehlverhalten oder Nichteinhalten von Fristen kann man sich auch an den verantworlichen (Bundesland des Verusrsachers) Landesbeauftragten für Datenschutz im wenden - kostenlos für betroffene.
Die Datenschützer können Verursacher und Vorfall ggf. weiter untersuchen und sanktionieren.
Kapitel 8 Rechtsbehelfe, Haftung und Sanktionen
Das kann sehr unangenehm für einen Verursacher von Datenschutzverstößen werden!
Kapitel 3 - Rechte der betroffenen Person
Auskunkft, löschen, einschränken der Verarbeitung etc. mit relativ kurzen Fristen für die Verursacher. Fristen findet man in Art. 12
Anträge gemäß Art. 15, 17, 18, 21 beim Verursacher können schon einigen Stau aufwirbeln!
Bei einem Verdacht auf mißbräuchliche Verwedung von Daten würde ich auf alle Fälle je nach Situation einen Antrag gemäß Art. 15 DSGVO - Auskunftsrecht der betroffenen Person oder Art. 17 DSGVO - Recht auf Löschung ("Recht auf Vergessenwerden") beim Verursacher stellen. Das geht einfach und formlos.
Bei Fehlverhalten oder Nichteinhalten von Fristen kann man sich auch an den verantworlichen (Bundesland des Verusrsachers) Landesbeauftragten für Datenschutz im wenden - kostenlos für betroffene.
Die Datenschützer können Verursacher und Vorfall ggf. weiter untersuchen und sanktionieren.
Kapitel 8 Rechtsbehelfe, Haftung und Sanktionen
Das kann sehr unangenehm für einen Verursacher von Datenschutzverstößen werden!
Zuletzt bearbeitet:
StefanW.
Rather active member
- Registriert
- 1 Okt. 2008
- Beiträge
- 4.483
Der Threadersteller will aber Geld für den Schaden und Aufwand, welcher ihm entstanden sein soll.
Ja. Aber Fehler passieren nun mal... - immer, früher wie heute, und oft genug ist es kein technisches, sondern ein menschliches Versagen.
Wollen wir tatsächlich jeden Fehler bestrafen? Das vordringliche Ziel sollte doch eher sein, aus Fehlern zu lernen und es zukünftig besser zu machen. Natürlich müssen entstandene materielle Schäden reguliert werden, aber immer und sofort Bußgelder zu verhängen halte ich für kontraproduktiv. Dann gibt es für manche Jobs zukünftig keine Bewerber mehr...
Zuletzt bearbeitet:
Das muss zivilrechlich geklärt werden. Bei einem entsprechenden Verfahren, sind die Informationen, die aus Anträgen gemäß Art. 15 oder Art. 17 DSGVO gewonnen wurden sehr hilfreich, da insbesondere das Auskunftsrecht schon sehr umfassend ist. Wenn dabei ggf. wegen Verdacht auf Unvollstädigkeit oder Nichteinhalten von Fristen noch die Behörde involviert wird, kann dies zusätliche Informationen ans Licht bringen.
Hilft auf alle Fälle bei der Beweissicherung, ohne dass man selbst einen Anwalt bemühen muss.
Das entlasstet und unterstützt im zivilrechtlichen Verfahren danach/währendessen den eigenen Anwalt.
Bei einem Verdacht auf mißbräuchliche Datenverarbeitung oder Datenklau kann es auch sinnvoll sein, sich ohne Umwege an den zuständigen (Bundesland des Verbeiters) zu wenden.
Datenschutzvpannen. oder -Verstöße müßen vom Verbarbeiter innerhalb von 72 Stunden nach Bekanntwerden (Geschäftsführung, Datenschutz...) bei der Behörde gemeldet werden, auch wenn noch nicht alle Information vorliegen.
Das beinhaltet den Vorfall, weitere Maßnahmen zur Untersuchen sowie Maßnahmen zur zukünftigen Vermeidung von Vorfällen.
In diesem Kontext kann eine verspätete oder keine Meldung eines Vorfalls zu Strafen führen. Eine eigene, rechtzeitige Meldung führt eben nicht zu einer Strafe hilft aber dem Lernprozess, weil die Behörde eventuell Rückfragen zum Vorfall oder geplanten Maßnahmen stellt.
Beispiel: Eine Email an Kunden o.a. bei dem die Adressen der Kunden in TO oder CC statt BCC stehen, ist ein meldepflichtiger Vorfall. Wenn man dies innerhalb von 72h meldet ist man safe. Bestraft werden könnte soetwas aber, wenn sich ein Kunde nach mehr 72h bei der Behörde beschwert und man es nicht rechtzig gemeldet hat.
Zuletzt bearbeitet:
Oder auch nicht, es herrscht ja Wettbewerb. Schaden ist nicht nur finanziell.
StefanW.
Rather active member
- Registriert
- 1 Okt. 2008
- Beiträge
- 4.483
Weil Du dann zu einem Anbieter geht, der keine Rückversicherung abschliesst?
Wie hoch soll denn die Aufwandsentschädigung für "neue Kreditkarte + neues Mailkonto" sein?
Der TE will juristische Handhabe, nicht unbedingt Geld, aber (Buß-)Geld hilft, meistens.
StefanW.
Rather active member
- Registriert
- 1 Okt. 2008
- Beiträge
- 4.483
Zwischenzeitlich wurde er doch auf die DSGVO hingewiesen.
- Status
