Kundendaten Diebstahl?
Hallo wertes Forum,
bei einer Firma, bei der ich Kunde bin wurde nachweislich der Server gehackt und meine Kundendaten gestohlen. Die Firma spielt das ganze herunter, jedoch finde ich das gar nicht so lustig.
Meine Frage: Habe ich rechtliche Möglichkeiten gegen die Firma? Im Sinne von nicht ausreichend für Schutz der Daten gesorgt / DSGVO?
Besten Dank im Voraus.
5 Antworten
Wenn du den Vorgang beweisen und auch den dir entstandenen Schaden belegen kannst, kannst du natürlich jederzeit auf Schadenersatz klagen. Wenn es sich um signifikante Daten handelt, wie Steuerunterlagen oder Finanzdaten, welche dir geschäftlich Schaden könnten, kannst du auch vorsorglich Klage einreichen auf "immateriellen Verlust" und entgangenen Gewinn aufgrund rufschädigender Beurteilung (z.B. der Bonität), falls du den Betrag quantifizieren kannst, beispielsweise aufgrund von Umsatzzahlen aus vergangenen Jahren. Z.B. wenn du deine Firma mit einem neuen Namen versehen müsstest, braucht es ein neues Logo und immensen Werbeaufwand, um das wieder gut zu machen.
Wenn die Daten nicht lediglich in verschlüsselter Form vorlagen, muss dich die Firma darüber informieren, dass sie gestohlen wurden und welche Daten gestohlen wurden. Ob man aber auch Schadensersatz o.Ä. weiß ich nicht - ich vermute eher nicht. Je nachdem wie farhlässig die Firma gehandelt hat, könnte gegen sie eine Strafe verhängt werden - das Geld geht aber nicht an die Kunden. Ansonsten kannst du dich an den Datenschutzbeauftragten wenden. Wenn das Gespräch nicht zufriedenstellend läuft, könntest du auch bei der entsprechenden Aufsichtsbehörde für den Datenschutz beschwerde einreichen. Wenn die Firma aber in einem Land sitzt in dem die DSGVO nicht gilt, wird es deutlich schwieriger sich zu beschweren.
Das man eine Mail von ihnen bekam ist streng genommen kein Nachweis, da es sehr einfach ist den Absender zu fälschen (z.B. schreibt man in der PHP-Mail-Funktion den Absender einfach wie den Betreff als freien Text hin) - das sie aber eingeräumt haben, dass die Daten von ihnen kommen, zeigt aber natürlich, dass sie offenbar gehackt wurden und es auch wissen - u.U. sehen sie es so, dass keine großen Gefahren für die Betroffenen entstehen (z.B. wenn nur die Mail-Adresse, aber keine Zahlungsdaten gestohlen wurde). Ansonsten müssten die Betroffenen informiert werden (Artikel 34 DSGVO). Trotzdem hast du natürlich ein Auskunftsrecht welche Daten gestohlen wurden.
Ansprüche hättest du wahrscheinlich nur, wenn sie die Daten ohne deine Erlaubnis (und ohne gesetzliche Grundlage) gespeichert hätten.
Was heißt "nachweislich"?
Für Beschwerden musst Du Dich an die entsprechende Stelle (Landesbeauftragte für Datenschutz) in Deinem Bundesland wenden, findest Du bei Google.
Selbstverständlich hast du Möglichkeiten. Du solltest aber wirklich sicher nachweisen können, dass deren Server gehackt wurde. Woher weißt du das?
Rein rechtlich definitiv!
Vielen Dank für die vielen Antworten bisher.
Nachweislich:
Ich habe eine Spammail von einem der Accounts der Firma bekommen, die mir seltsam vorkam und habe die Firma damit konfrontiert. Dann wurde mir auf Nachfrage tatsächlich bestätigt das der Server gehackt wurde und die Daten kompromitiert sind, siehe ja auch die Mail die ich bekam.