Welche Handhabe hat der User gegen Firmen bei Datenklau?

[T500_2082]

Weil Du dann zu einem Anbieter geht, der keine Rückversicherung abschliesst?

Wie hoch soll denn die Aufwandsentschädigung für "neue Kreditkarte + neues Mailkonto" sein?

Pauschal, 50€. Neue KK und Mailkonto können selber ja auch schon Kosten haben. Bußgeld abhängig vom Umsatz und Anzahl betroffener Kunden.

 

[Transnote]

Der TE will juristische Handhabe, nicht unbedingt Geld, aber (Buß-)Geld hilft, meistens.

Anträge oder Beschwerden sowie Meldung eines Vorfalls gemäß DSGVO sind der Anfang von juristischen Verfahren ein. Abgesehen von Bußgeldern können solche Verfahren auch inhaltlich beim Lernprozess helfen.

Auf der Seite des Bundesbeauftagten für Datenschutz gibt es einen Kontakfinder, um passende Stellen für eine Meldung herauszufinden
Bundesbehörde - Meine Rechte - die Betroffenenrechte

 

[Mornsgrans]

Der TE will juristische Handhabe, nicht unbedingt Geld, aber (Buß-)Geld hilft, meistens.

Und warum fragst Du dann Laien. Wende Dich an Deinen Anwalt und kläre das mit ihm. Nur er kann/darf verbindliche Auskünfte erteilen.

 

[uli1956]

Meldung eines Vorfalls gemäß DSGVO

Da hab ich so meine Erfahrungen mit.

Einer meiner Mitarbeiterinnen ist aufgrund einer - nicht von ihr verschuldeten! - Verwechslung ein datenschutzrechtlich relevanter "Fehler" unterlaufen. Ohne die vorhergehende Verwechslung (bei einer anderen Behörde) wäre ihr Handeln goldrichtig gewesen. Kann passieren, Shit happens. Um das wieder geradezubiegen, hat sie eine Stunde gebraucht; dem betroffenen Bürger hat sie den Vorfall erklärt, sich entschuldigt, und gut war's, der Bürger war Mensch und hat's akzeptiert. Aber um das Ganze dann dem Datenschutzbeauftragten darzulegen und zu erklären, hat sie einen kompletten Arbeitstag benötigt.

 

[albert66]

Der imm. Schaden ist doch schon dadurch entstanden, dass man sich eine neue E-Mail und neue Kreditkarte besorgen muss, die neue zigfach neu hinterlegt wird, etc., etc. Es sollte sofort bei Entwendung von pers. Daten eine Entschädigung fällig werden, die die Firmen wiederum (rück-)versichern könnten, so würde ein Schuh draus.

Der Aufwand, den Schaden nachzuweisen, kann u.U. höher sein, als der Schaden selber. Es ist sicher ärgerlich, die Firmen werden auch eine Geschäftshaftpflicht haben, aber der Weg wird uferlos und lang. Ich habe in einem Abuse-Fall selber 1 1/2 Jahre ermitteln müssen (in Zusammenarbeit mit Polizei, Staatsanwalt und Gericht), alle möglichen Daten ändern müssen (das war noch das kleinste Übel). 70 Tagessätze bei dem Verursacher war ein schwacher Trost, aber wenigstens war Ruhe.

Wenn noch nichts passiert ist, Karten-Daten etc. geändert wurden, würde ich (wie damals) noch zugeknöpfter bei Daten-Angaben werden. Alles andere kostet enorm viel Aufwand. Damals war (befristete) IP-Speicherung noch zulässig (90 Tage haben gereicht). Ich hoffe, daß die wieder kommen mit allen Auflagen zu den Zugriffen darauf (Berichtsbeschluß war damals bereits nötig). Dieses derzeitige Speicherverbot nutzt nur ....... Wenn nur per Gerichtsbeschluß herausgerückt wird, braucht es etwas Zeit, aber schützt den Normal-User ausreichend.

Beitrag automatisch zusammengeführt: 3 Mai 2026

Pauschal, 50€. Neue KK und Mailkonto können selber ja auch schon Kosten haben. Bußgeld abhängig vom Umsatz und Anzahl betroffener Kunden.

Das nutzt Dir nichts, für eine solche Befriedigung reicht eine Halbe Weißbier. Solltest Du selber zahlen, weil der Erstattungsaufwand Dich bereits mehr kostet. Es ist auch witzlos als Abschreckung, weil zuviele Täter und Idioten unterwegs sind. Ärgerlich war es für mich damals auch, aber ich glaube nicht, daß ich bei dem hier geschilderten Vorgang so etwas noch einmal durchziehen würde.

 

[Transnote]

Da hab ich so meine Erfahrungen mit.

Einer meiner Mitarbeiterinnen ist aufgrund einer - nicht von ihr verschuldeten! - Verwechslung ein datenschutzrechtlich relevanter "Fehler" unterlaufen. Ohne die vorhergehende Verwechslung (bei einer anderen Behörde) wäre ihr Handeln goldrichtig gewesen. Kann passieren, Shit happens. Um das wieder geradezubiegen, hat sie eine Stunde gebraucht; dem betroffenen Bürger hat sie den Vorfall erklärt, sich entschuldigt, und gut war's, der Bürger war Mensch und hat's akzeptiert. Aber um das Ganze dann dem Datenschutzbeauftragten darzulegen und zu erklären, hat sie einen kompletten Arbeitstag benötigt.

Sowas ist natürlich unangenehm.

Wenn ich Deinen letzten Satz richtig verstehe meinst Du den Datenschutzbeauftragten in der Behörde.
Habt Ihr keinen Datenschutzbeauftragten im oder für das Unternehmen? Es kann für Unternehmen notwendig sein, auch explizit einen Datenschutzbeauftragten zu bennenen und bei der Behörde anzumelden.

 

[T500_2082]

Der Aufwand, den Schaden nachzuweisen, kann u.U. höher sein,

Eben, das machen sich die Firmen zunutze. Muss andersrum laufen, Beweisumkehr.

 

[StefanW.]

Eben, das machen sich die Firmen zunutze. Muss andersrum laufen, Beweisumkehr.

Und dann sind Firmen nur noch damit beschäftigt, ungerechtfertigte Anschuldigungen abzuwehren?

 

[uli1956]

Wenn ich Deinen letzten Satz richtig verstehe meinst Du den Datenschutzbeauftragten in der Behörde.

Ja.

Habt Ihr keinen Datenschutzbeauftragten im oder für das Unternehmen?

Wir sind Behörde.

 

[albert66]

Eben, das machen sich die Firmen zunutze. Muss andersrum laufen, Beweisumkehr.

Wenn eine Firma gehackt wurde, weiß die oft nicht einmal, ob Kunden-Daten abgezogen wurden oder nicht. Wenn sie vorbeugend ihre Kunden informiert, obwohl noch keine Schäden bei Kunden bekannt sind, was soll sie denn dann dazu beweisen, bzw. ersetzen/regulieren ??

Wenn Dein PC gehackt wurde, schreibst Du dann alle Bekannten und Freunde an und zahlst jedem 50 Euro ?? (Beweisumkehr ??)

 

[ahoellrigl]

Geldbuße muss sein, schließlich zahlen die Firmen selten das Lösegeld, wodurch erst überhauot zu einem Sachschaden kommen kann, Schuld sind sie allemal, so oder so.

Jemandem eine Geldbuße aufbrummen zu wollen, der selber das Opfer einer Straftat geworden ist, hat mit Rechtlichkeit und Rechtsstaat dann allerdings gar nichts mehr zu tun. Ob jemand "Schuld" an etwas im (straf-)rechtlichen Sinne ist, entscheidet nicht das Bauchgefühl oder der persönliche Ärger, sondern die Gerichtsbarkeit.

Im Prinzip ist hier schon längst alles gesagt. Ein zivilrechtlicher Anspruch auf Schadenersatz gegenüber dem Datenverarbeiter würde dann entstehen, wenn diesem nachgewiesen werden kann, dass seine Schutzmaßnahmen gegenüber Datenklau unzureichend waren. Sollte sich bei einer Prüfung auf Einhaltung der Vorschriften der DSGVO zeigen, dass der Datenverarbeiter hier einen Verstoß begangen hat, hat das ggf. rechtliche Folgen für ihn. Die beziehen sich dann aber nicht auf den Datenklau (da bleibt der Dieb der Täter und Schuldige), sondern auf den besagten Verstoß gegen die DSGVO.

Eben, das machen sich die Firmen zunutze. Muss andersrum laufen, Beweisumkehr.

Das ist natürlich, pardon, rechtlicher Nonsens. Eine Beweislastumkehr gibt es in Teilbereichen des Haftungsrechts, zwischen Anbieter/Verkäufer und Klient/Kunde. Und zwar dort, wo es für einen Klienten/Kunden aus sachlichen Gründen praktisch unmöglich ist, einem Anbieter fehlerhaftes Handeln bzw. einem Verkäufer die Fehlerhaftigkeit einer Ware bereits zum Kaufzeitpunkt nachzuweisen. In diesen Situationen haftet ein Anbieter/Verkäufer aber ausschließlich für eigenes Handeln bzw. die eigene Ware. Aber nicht für das Handeln Dritter, also nicht dafür, möglicherweise selbst Opfer einer Straftat geworden zu sein. Dem Strafrecht ist die Beweislastumkehr sowieso komplett fremd.

Man muss das hier mal direkt sagen: Zivil- und Strafrecht sind nicht dafür gemacht, jedem einzelnen Bürger jedwedes Lebensrisiko zu 100% abzunehmen und irgendjemand anderem aufzuladen. Wenn man das Risiko überhaupt nicht tragen möchte, dass einem Datenverarbeiter eigene Daten gestohlen werden, dann darf man dem Datenverarbeiter die Daten nicht überlassen. Und wenn man es tut und ggf. ein geringer Vermögensschaden entsteht, dann ist man schon selber in der Pflicht darzulegen, dass man den Datenverarbeiter dafür ggf. in der Mitverantwortung sieht. Die Strafverfolgung und Gerichtsbarkeit werden nur bei Offizialdelikten von sich aus tätig, also bei Verbrechen und bestimmten Vergehen. Und das auch nur gegenüber dem Täter. Aber nicht dafür, dass sich ein mündiger Bürger Kosten von ein paar Euro von irgendwem erstatten lassen kann.

 

[T500_2082]

Eine von einem Datenleck, also von einer unrechtmäßigen Datenverarbeitung, betroffene Person kann gem. Art. 82 DSGVO einen Schadenersatzanspruch geltend machen. Ein Schaden liegt bereits dann vor, wenn der Anspruchsteller nachweisen kann, dass ihm durch den Vorfall Ängste und Sorgen entstanden sind. Eine Bagatellgrenze gibt es nicht. So wurde bespielweise eine Musikplattform am 04. Oktober 2024 vom LG Lübeck zur Zahlung von Schadensersatz an einen Verbraucher verurteilt (Az.: 15 O 216/23). Strittig ist nur noch in welcher Höhe der SE zu leisten ist.

@ahoellrigl Dein von Schwulst überladener Beitrag oben ist damit vollumfänglich widerlegt. Ich weiß tatsächlich nicht, wo ich damit anfangen soll.

 

[StefanW.]

@ahoellrigl Dein von Schwulst überladener Beitrag oben ist damit vollumfänglich widerlegt. Ich weiß tatsächlich nicht, wo ich damit anfangen soll.

Er hat sich viel Mühe gegeben, Dir ein paar Grundlagen zu erklären.
Mit Deiner beleidigenden Antwort hast Du einen Platz auf meiner Ignore-Liste ergattert.

 

[Mornsgrans]

Und bevor es weiter übergriffig wird und da der TE die Lösung gefunden hat: Thread zu.