antenope
Goto Top

Was tun wenn man von einer Datenschutzverletzung betroffen ist? (als "Opfer")

Moin zusammen,
kurz vorab, für quasi jede Anmeldung bzw. Konto im Internet, lege ich eine eigene eindeutige Alias-Mail an (wie vermutlich viele hier). Nun habe ich letzte Woche "Werbung" bekommen, die eindeutig NICHT vom ursprünglichen Datenempfänger stammt.

Darauf hin, habe ich diesen über das Datenleck per Mail informiert. Es wurde ein Ticket eröffnet und es kam folgende Antwort:

vielen Dank für Ihre E-Mail Anfrage.
Die erwähnte E-Mail-Meldung wurde von unserem Unternehmen nicht geschickt, deshalb können wir Ihnen leider nicht weiterhelfen. Wir haben keine Informationen darüber.
Mit freundlichen Grüßen,


Ja ok, wenn die besagte Mail nicht von denen stammt, haben die definitiv ein Datenleck! Also habe ich zum Telefon gegriffen und an der Hotline nachgefragt. Der gute Herr konnte das nachvollziehen und schlug eine andere Mail-Adresse vor, die vom Vertrieb ... => Neues Ticket => keine Antwort

Heute flattert die zweite SPAM auf der Adresse rein. Fein ... erneut angerufen, Hotline kann nicht helfen, die Frage ob ein DSB vorhanden ist wird bejaht, man dürfe mich aber nicht zu diesem durchstellen (interessante Logik?). Dessen Kontaktdaten sind auch nicht auf der Website veröffentlicht ... Okay ...


Nungut. Ich war so freundlich und habe die Leute darauf hingewiesen und die Chance gegeben sich darum zu kümmern, scheinbar ohne Erfolg, schade.

Wie würdet ihr nun weiter vorgehen?

Content-Key: 372716

Url: https://administrator.de/contentid/372716

Printed on: April 21, 2024 at 02:04 o'clock

Member: StefanKittel
StefanKittel May 02, 2018 updated at 08:46:34 (UTC)
Goto Top
Hallo,

ist die Frage ob die Daten "abhanden" oder verkauft wurden, bzw. bei einem Dienstleister der Firma abhanden oder verkauft wurden.
Ist aber eigentlich egal. Die haben die Daten verdödelt. Punkt.

Ist die Frage wieviel Aufwand Du treben möchtest.
Im Prinzip kannst Du sie anzeigen. Einfacher wäre vermutlich eine Beschwerde bei der Verbraucherzentrale oder dem Landesdatenschutzbeauftragten. Den kann man in der Regel auch recht einfach anrufen.

Viel Erfolg

Stefan

PS: Ich würde mich über ein Update freuen
PS2: Ich habe hier ein Schreiben des Datenschutzbeauftragten einer großen deutschen Sparkasse wo er sich dafür entschuldigt dass Personen- und Kredigbezogene Daten von mir an fremde Personen weitergegeben wurden. Aus Datenschutzgründen darf er mir aber nicht sagen an wen face-smile
Member: Kraemer
Kraemer May 02, 2018 at 08:45:33 (UTC)
Goto Top
Moin,

ich würde mich an den Landesdatenschutzbeauftrageten wenden. Der ist zuständig.

Hier ein paar Infos und Adressen: https://www.akademie.de/wissen/datenschutz-datenmissbrauch-melden

Gruß
Member: Lochkartenstanzer
Lochkartenstanzer May 02, 2018 updated at 09:08:32 (UTC)
Goto Top
Zitat von @StefanKittel:

Aus Datenschutzgründen darf er mir aber nicht sagen an wen face-smile

Dann würde ich dem mal auf die Füße treten, den er ist verpflichtet, das mitzuteilen. Frag ihn mal aus welchem Paraprafen des Datenschutzgesetzes er das ableitet.

Datenschutz wir häufig gerne angeführt, um sich aus der Verantwortung zu ziehen.

zu der Frqage des TO:

Ich habe auch schon oft "Datenchutzverletzungen" erlebt, darunter auch so namhafte Firmen wie symnatec (sic!), microsft, adobe, hp, und viele andere kleinere. Meistens "verlieren" diese Daten irgendwelche Vertriebsmitarbeiter oder Marketingfirmen. oder die Firmen haben gar nicht mitbekommen, daß jemand Ihre Adressliste hat.

Du selbst hast zwar den Nachweis üebr die "markierte" Mailadresse, daß die Firma vermutlich geschlampt hat, aber Du kannst gegenüber einem dritten, insbesondere einem Gericht, nicht nachweisen, da es so war. Du kannst zwar die Firma darauf hinweisen, daß sie ein Leck haben, aber groß was erreichen wirst Du nciht. Insbesondere werden sie es Dir nicht auf die nase binden, wenn sie die Adresse tatsächlich "verkauft" haben sollten.

Wenn Du was tun willst: Landes oder Bundesdatenschutzbauftragten kontaktieren, verbraucherschutz informaieren.

lks
Member: anteNope
anteNope May 02, 2018 updated at 09:19:32 (UTC)
Goto Top
... ist die Frage ob die Daten "abhanden" oder verkauft wurden, bzw. bei einem Dienstleister der Firma abhanden oder verkauft wurden.

Einen absichtlichen Verkauf schließe ich aus. Der Inhalt der Spam deckt sich mit dem Leistungsangebot der Firma ... ein Weiterverkauf wäre ein wahres Eigentor. Ich vermute die Daten wurden aus einer Datenbank abgegriffen.

Ist die Frage wieviel Aufwand Du treben möchtest.
Ich möchte einfach die Leute darauf aufmerksam machen und denen nicht unbedingt ans Bein pinkeln. Nur machen die es einem unnötig schwer. An der Hotline sitzen wieder die üblichen Checklistenabarbeiter und beim Ticket-System greift natürlich das ABC-Prinzip (always be closing)

Ich habe jetzt gerade mal meinen Mailbestand nach älteren E-Mails der Firma durchforstet und einen Ansprechpartner gefunden mit direkter Durchwahl ;)
DER hat den Sachverhalt dann auch direkt begriffen und kümmert sich nun. Er will mich auf dem Laufenden halten. Ich bin gespannt =)

Du kannst zwar die Firma darauf hinweisen, daß sie ein Leck haben, aber groß was erreichen wirst Du nciht.
Es kommt ganz darauf an. Ich habe bislang zwei weitere Firmen darauf hingewiesen. Mindfactory, die mich ebenfalls mehrfach abgeschmettert hatten, das Süppchen kochte dann aber dennoch hoch: https://www.heise.de/security/meldung/Mindfactory-Kundendaten-kursieren- ...

Zum zweiten Digitfoto, die haben sich Mai 2016 vorbildlich verhalten. Ich wurde an den IT-Verantwortlichen durchgestellt, habe das mit dem besprochen und die sind tätig geworden.

"Sehr geehrter Kunde, sehr geehrte Kundin,

die Datenbank unseres Webshops ist einem Hackerangriff zum Opfer gefallen. Betroffen ist die Tabelle mit Ihrer Emailadresse und Ihrem Namen. Wie uns am Freitag mehrere Kunden informierten, wurden Paypal Phishing-Emails mit dem Betreff "Aktualisierung der Sicherheitssysteme" versendet.
In dieser Email, welche weder von uns, noch von Paypal stammt, wird der Kunde aufgefordert, sich auf einer fremden Seite mit seinen Paypal Daten anzumelden. Das Ziel der Kriminellen ist es, Zugriff auf Ihr Paypal-Konto zu erlangen.
Aus diesem Grund bitten wir Sie genau zu prüfen, ob Sie auch eine solche Email bekommen haben und bitten Sie diese zu löschen. Die Paypal Passwörter werden zwar nicht in unserem System abgelegt, aber wir bitten Sie dennoch diese aus eigenem Schutz zu ändern.

Weitere Informationen zum Schutz vor Paypal Betrügern können Sie auf der Seite von Paypal entnehmen:
https://www.paypal.com/de/webapps/mpp/phishing

Die Sicherheitslücke in unserer Datenbank wurde mittlerweile geschlossen und Strafanzeige gestellt.
Bereits am Freitag wurde Paypal informiert und der Mailserver des Angreifers gestoppt. Es ist unklar, wieviel Emails versendet worden sind. Auch die Internetadresse mit der falschen Paypal Seite war bereits am Freitag Nachmittag deaktiviert worden.

Wir bitten Sie diese Unannehmlichkeiten zu entschuldigen."



Wenn Du was tun willst: Landes oder Bundesdatenschutzbauftragten kontaktieren, verbraucherschutz informaieren.
Das wäre tatsächlich mein letzter Ausweg, wenn ich dazu gezwungen würde. Meine Frage zielte eher darauf ab, wie man die Leute motivieren kann sich quasi selbst zu helfen ;)
Member: SeaStorm
SeaStorm May 02, 2018 at 11:07:05 (UTC)
Goto Top
Das Problem ist ja, das man bei den Anmeldungen im Grunder immer akzeptieren muss, das die Daten an dritte gegeben werden dürfen. Aus natürlich rein heheren Gründen usw.
Und dann sagen die einfach: Das Problem ist nicht bei uns entstanden. Das kann JEDER von den 10 anderen gewesen sein, wende dich doch mal an die.
Damit bauen sie ein Passierschein A38 auf und man kommt nie ans Ziel.
Habe das gleiche gerade mit LAMY. Vor einigen Jahren mal bei denen einen gravierten Stift gekauft, auch mit einer alias adresse. Und auf der trudelt seit ein paar Monaten immer und immer wieder Schreibwaren-Spam ein. Auch wenn man sich da "abmeldet", kommt (vom selben Versender ....) weiterhin Spam. Lamy wiegt sich in Unschlud und der Versender hat angeblich nix mit denen zu tun. Ausserdem ist er natürlich nicht erreichbar.

Naja ... lamy@ wird halt jetzt gelöscht.
Member: anteNope
anteNope May 02, 2018 at 11:19:35 (UTC)
Goto Top
Und dann sagen die einfach: Das Problem ist nicht bei uns entstanden. Das kann JEDER von den 10 anderen gewesen sein, wende dich doch mal an die. Damit bauen sie ein Passierschein A38 auf und man kommt nie ans Ziel.
Darum ist das ja nun auch endlich in der DSGVO geregelt. Einfach mal so weitergeben ist nicht und wenn man die weitergegeben hat, muss man sich darum nun kümmern.

Naja ... lamy@ wird halt jetzt gelöscht.
Das ist auch meine Intention hinter den Aliasen, notfalls lösche ich die und schon ist Ruhe ^^

Worauf ich mich demnächst richtig diabolisch freue: den ganzen Callcentern mit Anlauf gegen die Karre zu fahren und raus zu finden woher die überhaupt meine Daten haben.
Member: SeaStorm
SeaStorm May 02, 2018 at 11:25:50 (UTC)
Goto Top
gilt das auch für Daten die vor der DSGVO weitergegeben wurden?
Member: anteNope
anteNope May 02, 2018 updated at 11:33:21 (UTC)
Goto Top
Natürlich gilt das auch dafür. Nur ist die Frage in wieweit die Weitergabe bereits dokumentiert wurde ;)
Wenn Informationen dazu bestehen, hat man ein Anrecht darauf. Wenn nichts vorhanden, können die ja auch nichts mitteilen. (also Weitergaben vor der DSGVO)
Member: SeaStorm
SeaStorm May 02, 2018 at 11:35:42 (UTC)
Goto Top
soundsgood
Member: anteNope
anteNope May 02, 2018 at 11:39:44 (UTC)
Goto Top
True, aber immerhin kannst du die Löschung deiner Daten verlangen =) Ohne Einwilligung haben die ja erstmal keine rechtliche Grundlage für die Verwendung (hast ja keinen Vertrag o.ä. mit denen).

Das ist ja das schöne, irgendwie bekommt man die nu immer =)
Member: Lochkartenstanzer
Lochkartenstanzer May 02, 2018 at 12:19:52 (UTC)
Goto Top
Zitat von @anteNope:

Das ist ja das schöne, irgendwie bekommt man die nu immer =)

Wird sich zeigen. Wie willst Du feststellen, ob die wirklich geölscht haben ode rnur ein gelöscht-Flag setzen? Und ob die backups auch alle gesäubert werden? oder ein backup wieder eingespielt wird?

Nur weil in einem gesetz irgendwelche juristischen Phrasen stehen heißt das noch lange nicht, daß man das alles auch technisch umstezen kann oder auch sein recht bekommt.

lks
Member: fisi-pjm
fisi-pjm May 02, 2018 at 14:30:48 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Nur weil in einem gesetz irgendwelche juristischen Phrasen stehen heißt das noch lange nicht, daß man das alles auch technisch umstezen kann oder auch sein recht bekommt.

Weil die Datenabnk auf einem WORM Medium liegt? Ich wüsste nicht was technisch gegen eine Löschung spricht? Das keine Prozesse dazu im Unternehmen existieren, davon geh ich aus, so blauäugig wie die meisten kleinen bis mittelständigen Unternehmen damit umgehen, das kann man aber ändern und das wird sich auch erst ändern sobald die ersten von ihren (gar nicht mal so) neuen Rechten gebrauch machen.

Gruß
PJM
Member: kaiand1
kaiand1 May 02, 2018 at 14:43:21 (UTC)
Goto Top
Da ich selbst auch seit Jahren Alias Adressen nutzte kommt wenn man die vor Ort Angibt schon großes Staunen wenn dann ein Teil des Firmennamens zb drin ist...

Hatte da aber auch mal so einen Fall das Spam über eine Alias reingekommen ist wo den Betreiber Angeschrieben habe der es natürlich auch erst Verneint hat und wie darauf kommen würde das der Spam über denen gehen sollte.
Kurze Erklärung Alias Mail und die haben mal bei sich geschaut und ein Codefehler in der Webseite gefunden worüber Spam verschickt wurde was die bislang nicht Bemerkt hatten....

Egal wie jedoch werden die meisten es eh nicht Zugegeben da diese dann ja ggfs Haftbar ect gemacht werden können.

Entweder neue Alias Erstellen oder vom Anbieter ganz Abmelden.

Was bei SpamAnbieter hilft noch die Jahreszahl/Monat in die Alias einzubauen oder selbst halt jedes Jahr die Alias erneuern aufs Aktuelle Jahr und die Alten Sperren...
Member: aqui
aqui May 03, 2018 updated at 09:30:48 (UTC)
Goto Top
kurz vorab, für quasi jede Anmeldung bzw. Konto im Internet, lege ich eine eigene eindeutige Alias-Mail an
Nöö, niemals. Dafür nimmt man immer einen Einmal Mailer wie http://www.mailinator.com sofern das unwichtige Konten sind.
Member: anteNope
anteNope May 08, 2018 at 13:03:29 (UTC)
Goto Top
Hier das gewünschte Update. Nachdem ich einen persönlichen Ansprechpartner darauf aufmerksam gemacht habe, wurde um die Sache gekümmert. Hier die Antwort des Unternehmens:


herzlichen Dank für Ihre Nachricht vom 23.04.2018 , die wir, nach erneuter eingehender Recherche, wie folgt beantworten möchten:

Wir bedauern, dass Ihnen durch die Zusendung elektronischer Post Unannehmlichkeiten entstanden sind. Interne Recherchen ergaben, dass unser Unternehmen hierfür nicht verantwortlich war. Es handelt sich vielmehr um eine rechtswidrige Vorgehensweise eines ehemaligen Mitarbeiters unserer amerikanischen Vertriebsgesellschaft. Von dortiger Seite wurde sofort Strafanzeige gegen die betreffende Person erstattet und technisch sichergestellt, dass keine weiteren rechtswidrigen Handlungen mehr vorgenommen werden können.
Zur Information: Unser Unternehmen betreibt keinen Adresshandel, Kundendaten werden daher weder kommerziell vermarktet noch in sonstiger Weise Dritten zur Verfügung gestellt.

Wir hoffen, Ihnen hiermit alle notwendigen Informationen zur Verfügung gestellt zu haben, und danken Ihnen nochmals für Ihre freundliche Unterstützung in dieser Sache.

Mit freundlichen Grüßen

Und es geht doch =)
Member: Lochkartenstanzer
Lochkartenstanzer May 08, 2018 at 13:31:55 (UTC)
Goto Top
Zitat von @anteNope:

Und es geht doch =)

Denkste.

In eine Mail kann man viel reinschreiben. Ob da tatsächlich etwas passiert oder passiert ist, kannst du gar nicht nachprüfen.

lks