Skip to Content.
Sympa Menu

cacert-de - Re: [CAcert-DE] CAP

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: [CAcert-DE] CAP


Chronological Thread 

>>> §4a Absatz 1 Es wird keine Einwillig des Users eingeholt. Solch
> (1) Die Einwilligung ist nur wirksam, wenn sie auf der freien 
> Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen 
> Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den
>  Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die
>  Folgen der Verweigerung der Einwilligung hinzuweisen. Die 
> Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer 
> Umstände eine andere Form angemessen ist. Soll die Einwilligung 
> zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie
>  besonders hervorzuheben.
> 
> Steht das was von "selber abgeben" oder so drin ? Das BDSG fordert 
> die Einwilligung und verlangt sogar, das sie besonders hervorzuheben
>  ist.
Annahme: Du kaufst etwas bei X über das Internet. Damit die Ware zu dir
nach Hause geschickt werden kann, gibst du Name und Adresse preis.
Anschließend verklagst du X, da du nie eine Einwilligung zum Speichern
deiner Daten gegeben hast.

Weitere Annahme: Du gewinnst den Prozess. Der Händler muss alle Daten
über dich löschen. Im Gegenzug verlangt er das gleiche von Dir.

Nach fünf Monaten geht die gekaufte Ware kaputt. Du willst deine
Gewährleistungsansprüche gegenüber dem Händler geltend machen. Dieser
behauptet aber, nie etwas an dich verkauft zu haben.

>>> §4b Übermittlung ins Ausland Gegen jede einzelne dieser 
>>> Vorschriften wird verstossen.
>> Schon wieder Schwachsinn! Welche Daten des CAPs übermittelt denn 
>> ein Assurer ins Ausland? Richtig! Ort und Datum des Treffens. Und 
>> das sind personenbezogenen Daten?
> 
> Ja.
Ja, stimmt. Immer wenn ich CeBIT Hannover höre habe ich sofort einen
Bezug zu dir! ;-)

>>> §4d und e Meldepflicht Ist CAcert beim 
>>> Bundesdatenschutzbeauftragen gemeldet ?
>> Lies mal §4d Abs. 3!
> 
> (3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle
>  personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder 
> nutzt, hierbei höchstens vier Arbeitnehmer mit der Erhebung, 
> Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und 
> entweder eine Einwilligung der Betroffenen vorliegt oder die 
> Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines 
> Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses
>  mit den Betroffenen dient.
> 
> Wir haben weder die Einwilligung, noch greift die 
> Arbeitnehmerregelung bei CAcert.
Nee, aber: "Die Meldepflicht entfällt ..., wenn die Erhebung,
Verarbeitung oder Nutzung der Zweckbestimmung eines ...
vertragsähnlichen Vertrauensverhältnisses mit den Betroffenen dient."

>>> §6 Unabdingbare Rechte des Betroffenen Nicht realisiert.
>> Quatsch! Jeder kann sich anschauen, was er selbst bei der 
>> Registrierung eingegeben hat. Solange er keine Punkte hat, kann er
>>  das auch beliebig ändern. Danach natürlich nicht mehr, sonst wäre
>>  der Sinn der CA verfehlt.
> 
> Also entspricht es nicht dem Gesetz.
Doch! (Diese Antwort ist genauso hohl wie deine!)

>>> §7 Schadensersatz Lieber gar nicht erst lesen.
>> Warum nicht? Macht ein Assurer einen Fehler, der nicht bemerkt 
>> wird, kann CAcert sehr wohl schadenersatzpflichtig sein. Wie 
>> gesagt: KANN! Es wird der Einzelfall zu prüfen sein.
> 
> Theorie: Wieso haftet CAcert ? Wenn jemand einen Fehler macht, haftet
>  er dafür. Da hat doch CAcert gar nichts mit zu tuen.
> 
> Das ist ein Argument für einen Verein. Wenn jemand im Auftrage eines
>  Vereines, einer Firma, ... handelt, dann haftet die Organisation 
> dafür. Dann wird im Zweifelsfalle die Kaffekasse des Vereines 
> liquidiert. Das setzt dann aber natürlich voraus, daß der Assurer 
> Mitglied im Verein ist, um vom Verein auch beauftragt wurde.
> 
> Praxis: Mal ganz davon abgesehen, dass man sich ohnehin den Assurer 
> greifen würde. Von einem australischen Laden Schadensersatz zu 
> bekommen, ist eher unrealistisch. Aber bei dem deutschen Assurer, 
> kann man das ja mal probieren.
Probieren kann man es, ob man damit Erfolg hat, wird von den Anwälten
und dem Gericht abhängen. Fakt ist: Eine CA garantiert mit der
Herausgabe eines Zertifikats die Identität der Person bzw. der URL, die
im Zertifikat steht. Stimmt die Identität nicht, und es hat nachweislich
die CA Schuld, sind auch rechtliche Schritte denkbar.

Aber abgesehen davon: Was soll diese Diskussion eigentlich? Glaubt hier
irgend jemand, dass das Vertrauen in eine CA sich mit Gesetzen,
Gerichten u. ä. erreichen lässt. Und nur das Vertrauen zählt! Das
Vertrauen wird sowohl durch schlampigen Datenschutz als auch (und noch
viel mehr) durch schlampige Identitätsüberprüfung geschmälert. Gemessen
an der heutigen Situation halte ich es für wichtiger, sich auf absolut
korrekte Identitätskontrollen zu konzentrieren, als das letzte
juristische Fitzelchen eines nationalen Gesetzes, das auf CAcert sowieso
nicht angewendet werden kann (siehe mein voriger Beitrag), zu
diskutieren. Damit will ich nicht gesagt haben, dass Datenschutz
überflüssig ist. Und auch bei CAcert gibt es da sicher noch etwas zu
tun. Aber die Art, die du deine Beiträge hier verfasst, trägt sicher
nicht dazu bei, etwas zu verbessern. Welchen Sinn soll es haben, hier zu
behaupten, CAcert würde gegen das Gesetz verstoßen, ohne das a) zu
begründen (siehe die Kritik von Philipp) noch b) sinnvolle Vorschläge
zur Verbesserung zu machen? Oder glaubst du an einen CAcert-Gott, dem du
nur sagen musst: "He, CAcert verstößt gegen das BDSG!", und der wird es
dann richten?




Archive powered by MHonArc 2.6.16.

Top of Page