Erste Hilfe in Rechtsfragen seit 2000.
499.757
Registrierte
Nutzer

Rechtliche Grundlage zur Löschung meiner Nutzerdaten bei Verantwortungsloser Website?

13.3.2018 Thema abonnieren
 Von 
go486018-97
Status:
Frischling
(2 Beiträge, 0x hilfreich)
Rechtliche Grundlage zur Löschung meiner Nutzerdaten bei Verantwortungsloser Website?

Guten Tag,

aus Datenschutzgründen möchte ich die genaue Website nicht nennen. Es geht um eine deutsche Website im Bereich Online-Learning, die meiner Schätzung nach Nutzer im Hunderttausend bzw. eventuell sogar Millionenbereich hat. Ihre Website sieht aus wie von 2000 und sieht im Backend wahrscheinlich noch älter aus.

Ich war extrem geschockt als ich auf "Passwort" vergessen gedrückt hab und darauf in einer E-Mail meine Userdaten (Nutzername und Passwort) als Text bekommen habe.
Ich habe schon vor einem Jahr die Betreiber angeschrieben und darum gebeten meine Daten zu löschen, die Nutzung des DIenstes ist auch schon vorbei. Ich dachte das hat sich damit erledigt. Heute bin ich aber irgendwie nochmal draufgekommen und hab es ausprobiert. Sie haben mein Passwort immer noch gespeichert und senden es mir zu wenn ich auf "Passwort Vergessen" drücke.

2 Fragen.

1. Ist es überhaupt legal ungehaste Passwörter zu speichern?! Das ist doch eine Datenschutz Katastrophe? Wenn ich da in die Datenbank komme hab ich einfach hunderttausende Mail - Passwort kombinationen.

2. Ich habe doch eine Anspruch darauf, dass meine Nutzerdaten gelöscht werden? Hab von $20, 35 BDSG gelesen. Werde die mir nachher auch nochmal in Reinform durchlesen.

Verstoß melden

Wir
empfehlen

Datenschutzerklärung für Websites nach DSGVO

Erstellen Sie Ihre individuelle Datenschutzerklärung für Ihre Webseite.
Juristische Dokumente individuell, günstig und rechtssicher.

Mehr Informationen



4 Antworten
Sortierung:
#1
 Von 
reckoner
Status:
Richter
(8163 Beiträge, 3194x hilfreich)

Hallo,

Zitat:
Ich war extrem geschockt als ich auf "Passwort" vergessen gedrückt hab und darauf in einer E-Mail meine Userdaten (Nutzername und Passwort) als Text bekommen habe.
Wieso schockt dich das? Das funktioniert doch fast überall so (ich rede nicht von Banken oder so, sondern von einfachen Onlinediensten).
Wie sollte es denn deiner Meinung nach ablaufen?

Zitat:
1. Ist es überhaupt legal ungehaste Passwörter zu speichern?! Das ist doch eine Datenschutz Katastrophe?
Was ist "ungehast"?

Zitat:
Wenn ich da in die Datenbank komme hab ich einfach hunderttausende Mail - Passwort kombinationen.
Sowas liest man doch immer mal wieder.

Zitat:
2. Ich habe doch eine Anspruch darauf, dass meine Nutzerdaten gelöscht werden? Hab von $20, 35 BDSG gelesen. Werde die mir nachher auch nochmal in Reinform durchlesen.
Wie soll denn dann das Unternehmen beispielsweise seiner steuerrechtlichen Pflichten nachkommen?

Stefan

1x Hilfreiche Antwort Verstoß melden

#2
 Von 
go486018-97
Status:
Frischling
(2 Beiträge, 0x hilfreich)

Ja

Zitat (von reckoner):
Wieso schockt dich das? Das funktioniert doch fast überall so (ich rede nicht von Banken oder so, sondern von einfachen Onlinediensten).
Wie sollte es denn deiner Meinung nach ablaufen?[/quote

Es funktioniert eben nicht fast überall so, dann könnte man ja gleich das Passwort weglassen.

Weil bei fast allen Onlinediensten "Hashes" verwendet werden. Das Passwort läuft sozusagen einen Algorithmus durch und das Ergebnis dessen ist eine Zeichenfolge, welche reproduzierbar durch dieses Passwort erzeugt werden kann. Die Mathematische Operation kann aber nicht einfach umgekehrt werden, sodass der Anbieter nie das richtige Passwort des Users speichert. Kaum ein moderner Anbieter speichert Passwort - User kombinationen.

Zitat (von reckoner):
Sowas liest man doch immer mal wieder.

Meistens sind das aber Username bzw. Email-Adress und Hash listen und nicht direkt die Passwörter, weil die ja meistens gar nicht gespeichert werden (Deswegen bekommst du ja auch im Normalfall nicht dein Passwort gesendet, sondern ein Link zum Zurücksetzen. Die Website weiß dein Passwort gar nicht. Aus diesen Hashes können dann per Brute-Force einfache Passwörter rausbekommen werden. Da die Operation einseitig immer das gleiche Ergebnis bringt kann man z.B. einfach das Passwort "Passwort" durch den Algorithmus laufen lassen und jede Mail-Adresse, der der resultierende Hash zugeordnet ist, hat dann dieses Passwort.

Zitat (von reckoner):
Wie soll denn dann das Unternehmen beispielsweise seiner steuerrechtlichen Pflichten nachkommen?

Ich rede nicht von Rechnungen. Ich rede von meinen Login-Daten

-- Editiert von go486018-97 am 13.03.2018 23:27

0x Hilfreiche Antwort Verstoß melden

#3
 Von 
reckoner
Status:
Richter
(8163 Beiträge, 3194x hilfreich)

Hallo,

Zitat:
Deswegen bekommst du ja auch im Normalfall nicht dein Passwort gesendet, sondern ein Link zum Zurücksetzen.
Doch, bekommt man meiner Erfahrung nach* sogar bei den meisten Onlinediensten (wie gesagt, ich rede nicht von Banken etc.).

*wobei die nicht sehr groß ist, ich vergesse meine Passwörter nicht allzu oft

Grundsätzlich sehe ich aber gar keine besondere Pflicht dein Konto zu schützen. Was steht denn in den AGB bezüglich Passwort, wofür dient es beispielsweise?

Zitat:
Ich rede nicht von Rechnungen. Ich rede von meinen Login-Daten
Ich glaube du redest eher davon, dass du dich noch einloggen kannst, bzw. dass es noch ein Konto unter deinem Nutzernamen gibt.
Da hättest du dann vielleicht recht und der Anbieter muss es auf Verlangen sperren.

Stefan

0x Hilfreiche Antwort Verstoß melden

#4
 Von 
Lazyboy
Status:
Praktikant
(819 Beiträge, 359x hilfreich)

Art. 17 EU-DSGVO, ab dem 25.05.

0x Hilfreiche Antwort Verstoß melden

Jetzt Anwalt dazuholen.

Für 60€ beurteilt einer unserer Partneranwälte diese Sache.

Jannis Geike Denise Gutzeit Nicolas Reiser Felix Hoffmeyer
  • Antwort vom Anwalt
  • Innerhalb 24 Stunden
  • Nicht zufrieden? Geld zurück!
  • Top Bewertungen
Ja, jetzt Anwalt dazuholen