Pakete gehen mitunter verloren, dann ist in den meisten Fällen zunächst der Paketdienst gefragt, zuweilen auch der Versender. Rechtsanwalt Niklas Mühleis klärt über die Rechte von Sender und Empfänger und die Pflichten des Transportdienstleisters auf: Wer kann einen Nachforschungsantrag stellen, wie lange hat der Paketdienstleister Zeit, auf eine Verlustmeldung zu reagieren und wer haftet bei Verlusten?

Bei einem missglückten Versand hängt die Haftung vom sogenannten Gefahrübergang ab. Verkaufen Unternehmen eine Ware an private Verbraucher, sind sie bis zur Zustellung der Ware für die Sendung zuständig. Bei Geschäften zwischen Privatleuten endet die Haftung des Versenders dagegen mit Übergabe des Pakets an den Versanddienstleister, dem sogenannten Gefahrübergang.

Der Versender in dem im c’t-Podcast behandelten Fall hatte sein Paket aufgrund einer Überlänge zusätzlich versichert. Ob eine solche Zusatzversicherung beim Verlust zuständig ist, hängt von den in den AGB festgehaltenen Bedingungen ab – beim zufälligen Untergang einer Sache, etwa bei höherer Gewalt, ist die Haftung meist ausgeschlossen. Standardmäßig sind Pakete beim Versand ohnehin bis 500 Euro versichert, allerdings gibt es hier einige Konditionen, die eine Schadensbegleichung ausschließen.

„Wenn ich eine spezielle Transportversicherung abschließe, kann es sein, dass ich bessere Konditionen bekomme.“ (Urs Mansmann)

Abstellgenehmigung

c’t-Redakteur Urs Mansmann rät dringend, die zu versendende Ware sicher zu verpacken, da sie beim Transport auch mal rauer behandelt wird. War sie nicht ausreichend verpackt, ist der Transportdienstleister aus der Haftung. Außerdem empfiehlt er, sich Sendungen an einen Paketshop schicken zu lassen, statt nach Hause, oder aber eine Abstellgenehmigung an einem sicheren Platz am Haus zu erteilen. c’t-Redakteurin Ulrike Kuhlmann weist darauf hin, dass im Fall einer Abstellgenehmigung Pakete nicht mehr versichert sind, sobald der Lieferdienst sie am vereinbarten Ort (vermeintlich) abgelegt hat oder sie aus (vermeintlich) sicheren Ablageort gestohlen wurden.

Geht ein Paket verloren, sollten Betroffene einen Nachforschungsantrag stellen und in diesem alle nötigen Fakten zum verschickten Inhalt nennen, also was ist drin, welchen Wert hat die Ware, wann sie verschickt wurde und mit welcher Liefernummer quittiert. Zusätzlich sollten sie sämtliche Belege anhängen, eine angemessene Frist setzen und gegebenenfalls Schadensersatz geltend machen, rät Rechtsanwalt Mühleis.

Als Frist hält Mühleis zwei Wochen für ausreichend, etwaige Schadensersatzansprüche ergeben sich aus Paragraf 823 Absatz 1 BGB. Darin heißt es „Wer vorsätzlich oder fahrlässig das … Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.“

Wie man beim Paketdienst effektiv sein Recht einfordert, welche Fristen beim Paketversand angemessen sind und was es mit der Bring-, Hol- und Schickschuld zwischen Sender und Empfänger auf sich hat, klären die drei in der aktuellen Episode des c’t-Verbraucherschutz-Podcasts „Vorsicht, Kunde!“.

Sämtliche Episoden des Verbraucherschutz-Podcasts sowie die darin behandelten Fälle finden Sie unter ct.de/Vorsicht-Kunde. Wir freuen uns über Anregungen, Lob und Kritik zum c’t-Podcast „Vorsicht, Kunde!“ in den Kommentaren.

Hier können Sie den c’t-Artikel zu dem im Podcast behandelten Streitfall nachlesen:

Der Fall Andreas K.: Lange Reaktionszeiten bei DPD

Das c’t Magazin gibt es am Kiosk, im Browser und in der c’t-App für iOS und Android. Unsere c’t-Artikel finden Sie auch im digitalen Abo heise+. Wenn Sie dieses Angebot bisher nicht kennen, können Sie jetzt günstig reinschnuppern und uns damit unterstützen. Unter heiseplus.de/podcast bekommen Sie drei Monate heise+ zum Sonderpreis. Haben Sie Lust, weitere heise-Podcasts zu hören? Sie finden sie auf der Podcast-Seite.

c’t erreichen Sie online und auf vielen Social-Media-Kanälen

► c’t Magazin
► c’t bei WhatsApp
► c’t auf Mastodon
► c’t auf Instagram
► c’t auf Facebook
► c’t auf X/Twitter
► c’t auf Bluesky
► c’t auf Papier: überall wo es Zeitschriften gibt!

(uk)

Die Orchestrierung und Automatisierung durch Kubernetes erfordert es, die große Angriffsfläche, Multi-Tenancy und die Integration mit CI/CD-Pipelines durch starke Security-Maßnahmen vor Angriffen zu sichern.

In unserem Workshop Advanced Kubernetes Security: Effektive Maßnahmen und Best Practices lernen Sie, wie Sie Ihre Kubernetes-Umgebungen vor Cyber-Angriffen schützen, die Compliance sicherstellen und effektive Gegenmaßnahmen gegen Fehlkonfigurationen ergreifen. Sie werden zentrale Sicherheitskonzepte kennenlernen, darunter RBAC, Admission Control, Laufzeitsicherheit sowie Best Practices für Kubernetes-Cluster. In einer praktischen Laborumgebung können Sie das Erlernte direkt anwenden und Ihre Kubernetes-Cluster gezielt absichern.

Interaktives Lernen in einer Übungsumgebung

Der zweitägige Praxis-Workshop vermittelt, wie Sicherheitspraktiken dabei helfen, Risiken wie Privilege Escalation, Data Leakage und Supply Chain Attacks in dynamischen Cloud-Native-Umgebungen zu minimieren. In kleinen Gruppen arbeiten Sie an praxisorientierten Übungen zu Themen wie der Durchsetzung von Sicherheitsrichtlinien, der Verwaltung von Zugriffskontrollen und der Absicherung containerisierter Workloads.

Dieser Workshop richtet sich an Kubernetes-Administratoren, Site Reliability Engineers (SRE), DevSecOps-Experten, Pentester und Red-Team-Mitglieder.

Ihr Trainer Benjamin Koltermann ist ein anerkannter Experte für Cloud- und Kubernetes-Sicherheit. Als CEO und Security Architect bei KolTEQ führt er Projekte für große, regulierte Unternehmen und begleitet sie bei der sicheren Transformation hin zu Cloud-Lösungen und Kubernetes.

(ilk)

Es ist ein Paradoxon: Mit fortschreitender Digitalisierung, Künstlicher Intelligenz und Cyberwar wären Datenschutz und Datensicherheit eigentlich immer wichtiger. Doch ausgerechnet jene, die sich von Amts wegen darum kümmern müssen, werden immer leiser.

Wann haben Sie zuletzt von den Datenschutzbeauftragten gehört? Heise-Meldungen gelten dafür nicht, aber auch unter diesen finden sich inzwischen zahlreiche eigentümliche Exemplare. Etwa die, dass der europäische Datenschutzbeauftragte Wojciech Wiewiórowski keine rechtlichen Einwände mehr gegen die Nutzung von Office 365 durch die Europäische Kommission vorbringt. Ein Thema, bei dem die deutschen Datenschutzaufsichtsbehörden seit fünf Jahren keine Lösung herbeigeführt haben — genau so wenig wie Anbieter Microsoft.

In der Debatte um die elektronische Patientenakte spielt das CCC-Umfeld eine ungleich wichtigere Rolle, beim Thema Digitale Identitäten ist das BSI weitgehend alleine unterwegs. Wie kann es sein, dass im Zeitalter angewandter künstlicher Intelligenz und damit der Auswertung und Verknüpfung großer Datenbestände ausgerechnet die Datenschutzbeauftragten auffallend leise sind? Müssten sie nicht derzeit mehr zu tun haben und präsenter sein, denn je zuvor?

Datenschutz wäre eigentlich immer relevanter

Der Datenschutz ist von einer theoretischen Diskussion über Machtpotenziale wie im Volkszählungsurteil längst zu einem ganz praktischen Thema geworden, das überall eine Rolle spielt. Es gibt mehr vernetzte Geräte als je zuvor. Und es gibt mehr Sensorik, die darin steckt, jede Menge Software, die irgendwelche Daten abgreift. Für Unternehmen und Organisationen gibt es kaum einen Grund, sie nicht einzusetzen.

Moderne Autos etwa stecken voller Sensorik, unter anderem Kameras. Und wohin diese Daten gehen, wie sie verarbeitet werden, durch wen und was mit diesen geschieht? Ein überaus alltagsrelevantes Thema. Und auch in Deutschland sitzt eine Vielzahl an Autoherstellern — oder europäische Firmenzentralen derselben, sodass deutsche Aufsichtsbehörden zuständig sind.

Doch von kritischer Draufsicht ist dort regelmäßig nichts zu sehen. Selbst wenn in anderen Ländern rund um den Globus die Thematik wie die der potenziellen Schnüffelautos aufgegriffen wird, die Erna und Dieter im Garten, am Zebrastreifen und beim Wildpinkeln filmen, deren Sensorik für Polizei eine Fundgrube wäre, von deutschen Aufsichtsbehörden hört man dazu: so gut wie nichts.

Da gibt Niedersachsens Beauftragte mal bekannt, sich in enger Abstimmung mit Volkswagen und anderen Aufsichtsbehörden zu befinden. Aber tatsächliches handeln? Nur in den seltensten Fällen passiert etwas.

Sprechen ist wie Aufsicht, nur billiger

Das liegt auch an den Datenschutzaufsichtsbehörden. Die haben über die Jahre zwar mehr Personal bekommen. Aber dass sie tatsächlich ihr Gebiss poliert und kräftig zugebissen hätten, kann nicht seriös berichtet werden. Wer sollte es Unternehmen oder Behörden also verdenken, dass sie im Wissen darum, dass die Aufsichtsbehörden zwar maulen, am Ende aber doch vor einer härteren Gangart meist zurückschrecken, auf nichts Substanzielles verzichten würden?

Talk is cheap, heißt es in der Politik. Und aufsichtsbehördliches Handeln ist teuer: das wäre mit Papierkrieg, Zeitaufwand und möglicherweise auch zu verlierenden Gerichtsprozessen verbunden.

Natürlich lässt sich hervorragend darüber streiten, inwieweit Deutschlands Datenschutzdiskussionen teils etwas artifiziell geraten sind. Immerhin gibt es kein Land auf diesem Planeten mit mehr juristischen Fachzeitschriften, in denen selbst die absonderlichsten und interessengeleiteten Interpretationen des Datenschutzrechts breit ausgewalzt werden, um dann im Diskurs als veröffentlichte und somit absolut seriöse Argumente vorgetragen zu werden. Wer mit Anwälten spricht, die vom Fach sind, bekommt schnell ein Gefühl dafür, wie viele der Debatten primär dazu da sind, Verfahren jeder Art in die Länge ziehen zu können und Rechtsklarheit zu vermeiden.

Doch es gehört zu den wundersamen deutschen Eigenschaften, daran zu glauben, dass Deutschland im digitalen Raum von besonders scharf durchgreifenden und die Beteiligten verunsichernden Aufsichtsbehörden stranguliert würde. Irgendwie scheint dieses Narrativ immer noch zu verfangen.

Dabei gibt es wirklich erstaunliche Fälle: Der Hessische Datenschutzbeauftragte etwa wurde verklagt, weil er meinte, dass er Bürgerbeschwerden nicht scharf nachgehen müsse. Und bekam vor dem EuGH Recht: das sei durchaus die Rechtslage.

Ein absurder Fall: Bürger verlangen von Aufsichtsbehörden, Verstöße schärfer zu ahnden – und die wollen das auf keinen Fall müssen. Auch in anderen Fällen werden inzwischen Datenschutzaufsichtsbehörden verklagt, weil sie zu wenig tun.

Schuld trägt vor allem die Politik

Diese Situation ist nur zum Teil das Verschulden der oftmals eher spröden und nicht gerade als Karrieresprungbrett für Beamte bekannten Behörden. Der Großteil der Misere ist politisch gewollt — und längst bis in weite Teile der Grünen hinein hat sich die Überzeugung durchgesetzt, dass Datenschutz der Digitalisierung im Weg stehen würde.

Ein Grund, warum etwa die grün-schwarze Landesregierung in Hessen weder etwas gegen die IP-Vorratsdatenspeicherung noch gegen Palantirs Analysesoftware bei der Landespolizei einzuwenden hat. Und die FDP? Die hatte damit in Teilen auch schon lange ihre Probleme. Mit ihrem bundespolitischen Ausscheiden allerdings ist ihre Bedeutung derzeit vernachlässigbar. Doch auch sie frönte zuletzt einem Narrativ, das von CSU bis Grünen gepflegt wird: Es braucht einen ganz anderen Ansatz, um Digitalisierung und Datenschutz zusammenzubekommen.

Statt knallharter behördlicher Aufsicht, die Verfehlungen ahndet, soll ein Wischi-Waschi-Beratungsauftrag erfüllt werden. Und nur bei den ganz, ganz unbelehrbaren soll wirklich einmal durchgegriffen werden. Vielleicht aber besser auch nur dann, wenn das nicht der Wirtschaft schadet. Denn es ist ja auch alles schrecklich kompliziert, vom Datenschutz über die KI-Verordnung und den Data und Data Governance Act bis hin zum Digital Services Act greifen Regelungen ineinander und teilweise aneinander vorbei, regeln ähnliche Sachverhalte und erlauben und verbieten ganz unterschiedliche Dinge.

Und wenn die Politik so komplizierte Geflechte in die Welt setzt, was läge da näher, als, man ahnt es bereits, deren Anwendung im Nachhinein abzuschwächen? Indem aus einer Aufsicht mit Kontrollfunktion eher eine Pausenaufsicht wird, die pädagogisch wertvoll den Kindern bei der Einhaltung der Regeln unter die Arme greift und nur im Ausnahmefall Sanktionen ergreift?

Unabhängig, aber bitte nicht zu kritisch

Die Politik erklärt Unternehmen, Behörden und Organisationen seit Jahren in gewisser Weise für zu blöd, Regeln zu verstehen und einzuhalten, nachdem diese über Jahre die ach so große Komplexität beklagt haben. Kein Phänomen des Datenschutzes alleine, aber hier ist es besonders auffällig: seitdem Datenschutz politisch stärker unter Druck steht und zum Sündenbock für die sowohl von Politik, Behörden und Unternehmen an vielen Stellen schlicht nicht oder falsch angegangene Digitalisierung erklärt wurde, agieren diese immer vorsichtiger.

Auch deshalb, weil Vertreter einer härteren Linie unter den Datenschutzbeauftragten von der Politik zuletzt mehrfach abgesägt wurden oder die Stellen schlicht über Monate und Jahre gar nicht mehr besetzt wurden, sind die heutigen Datenschutzaufsichtsbehörden in weiten Teilen als Verwaltungsaufsichten besetzt – die formelle Unabhängigkeit, die die Datenschutzgrundverordnung vorschreibt, endet schnell.

Eine Möglichkeit: die Zuständigkeiten zu verschieben. Das droht etwa bei der Datenschutzaufsicht über die Nachrichtendienste schon seit einer ganzen Weile: Egal wie freundlich die Datenschützer mit den Diensten umgehen, egal, wie wenig sie real kontrollieren oder einwenden, die Kontrollkompetenz wollte schon der ehemalige Kanzleramtsminister Wolfgang Schmidt (SPD) lieber an eine andere Stelle auslagern, den Unabhängigen Kontrollrat, der die Nachrichtendienstarbeit auch sonst kontrolliert.

Dass spätestens da, wo Bundesnachrichtendienst, Bundesamt für Verfassungsschutz und der Militärische Abschirmdienst mit dem Bundesamt für Migration und Flüchtlinge, mit Landesämtern für Verfassungsschutz oder dem Bundeskriminalamt interagieren dann doch wieder die jeweiligen Datenschutzaufsichtsbehörden ins Spiel kommen: in der politischen Debatte lässlich. Denn es ginge ja darum, den Datenschutz „zurechtzustutzen“.

Ein ähnliches politisches Signal: bei staatlichen Vorhaben wird in Gesetzen vom sogenannten „Einvernehmen“ auf ein „Benehmen“ reduziert. Sprich: Statt dass die Datenschutzaufsicht grünes Licht geben müsste, reicht es, dass sie ihre Bedenken zu Protokoll gegeben hat. Datenschützer nerven und damit sollen sie aufhören, egal ob Vorratsdatenspeicherung, Gesundheitsdaten oder KI-Einsatz bei Videoüberwachung durch Polizei oder in anderen Kontexten.

Nicht nur Datenschutzaufsicht unter Beschuss

Damit sind die Datenschützer am Ende nicht allein. Exakt das gleiche Schicksal droht derzeit in anderen Bereichen: Weil die KI-Verordnung kompliziert ist, soll die zuständige Behörde viel weniger sanktionieren als vielmehr protegieren. Und weil das auch für die Cybersicherheit gilt, soll natürlich auch bei der NIS2-Richtlinie das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor jedem Eingreifen doch bitte möglichst die Hand reichen, um darbende deutsche Unternehmen bei der Regeleinhaltung zu unterstützen. Der Präsident der Bundesnetzagentur hat viele Male öffentlich betont, wie wichtig die Beratungsfunktion bei der deutschen Umsetzung der KI-Verordnung ist. Als ob Aufsichtsbehörden Consultingfirmen wären.

Digitalpolitik ist Machtpolitik heißt es im Koalitionsvertrag zwischen CDU, CSU und SPD. Und genau das ist es, worum es derzeit an vielen Stellen geht: Statt einem behördlichen Aufsichtsregime soll eine Art Digitalisierungsförderung stehen. Gegen letzteres spricht eigentlich auch wenig – aber es ist eine völlig andere Aufgabe, die in Aufsichtsbehörden wenig verloren hat. Niemand käme auf die Idee, etwa die Wirtschaftsförderung eines Bundeslandes mit der Bau-, Lebensmittelaufsicht oder den finanzbehördlichen Aufgaben zu betrauen. Aber vielleicht ist das auch nur noch eine Frage der Zeit, bis die Steuerfahndung als Steuerberater für darbende deutsche Unternehmen tätig werden soll?

So ist es fast schon als Glücksfall zu betrachten, dass sich zumindest beim Datenschutz ein anderer Zweig der Rechtsdurchsetzung inzwischen alternativ herausgebildet hat: Immer häufiger müssen sich Unternehmen Massenverfahren beim immateriellen Schadenersatz stellen. Die jeweils eingeklagten Summen pro Fall sind in der Regel marginal – doch je mehr Betroffene diese Rechte geltend machen, umso höher sind die Risiken, die mit Schlamperei beim Datenschutz verbunden sind.

Zumindest solange, bis die Politik auch hier ein Risiko für die Wirtschaft sieht und die rechtlichen Regeln dafür wieder abändert. Die Datenschutzaufsichtsbehörden können sich über die Entlastung freuen. Und weiter in Arbeitskreisen Positionspapiere schreiben, warum es auf den Einzelfall ankommt, ob die datenschutzrechtliche Bewertung des Einsatzes dieser oder jener Software zu kritisieren wäre.

Vielleicht ist es also einfach an der Zeit, einzusehen, dass Digitalisierung nur dann Regeln folgt, wenn die Bürger in allen Feldern die Möglichkeit bekommen, böswillige oder schlampende Akteure in Grund und Boden zu klagen – dann können die staatlichen Aufsichtsbehörden sich auf die politisch derzeit gewünschte Beratungsleistung konzentrieren.

(nen)