Suche Kostenlose Ersteinschätzung

OLG Schleswig: DSGVO-Schadensersatz wegen Twitter Datenleck

scraping urteil

Ein Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO besteht bei Scraping Vorfällen nur, wenn der Kläger nachweisen kann, dass seine personenbezogenen Daten tatsächlich betroffen sind (OLG Schleswig, Beschluss vom 16.10.2024, Az. 5 U 56/24).

Schadensersatz wegen Twitter API Scraping

Die Klägerin forderte von Twitter Schadensersatz wegen angeblicher DSGVO-Verstöße. Sie behauptete, dass ihre personenbezogenen Daten durch einen API-Bug kompromittiert worden seien und verlangte deshalb die Zahlung von immateriellem Schadensersatz.

Zur Untermauerung verwies sie auf die Plattform „haveibeenpwned.com“, die einen Datenleck-Hinweis zu ihrer E-Mailadresse ausgab. Das Landgericht Lübeck wies die Klage ab, woraufhin die Klägerin Berufung einlegte.

OLG Schleswig lehnt Schadensersatzanspruch ab

Das OLG Schleswig teilte jedoch die Einschätzung der ersten Instanz. Es bestehe kein Schadensersatzanspruch, da die Klägerin nicht habe nachweisen können, dass ihre Daten tatsächlich von dem API-Bug betroffen waren.

Das Gericht betonte, dass die Darlegungs- und Beweislast für eine Datenschutzverletzung nach allgemeinen Grundsätzen bei der Klägerin liege. Eine bloße Vermutung oder ein Hinweis aus einer externen Plattform reiche nicht aus. Insbesondere führe die rein theoretische Möglichkeit, dass die Daten der Klägerin betroffen sein könnten, nicht zu einem Schadensersatzanspruch.

Beweiswert von Treffer auf haveibeenpwned.com

Der API-Bug bei Twitter hatte es Angreifern ermöglicht, per Scraping bestimmte Benutzerdaten auszulesen. Solche Sicherheitslücken entstehen oft durch unzureichende Zugriffskontrollen in Schnittstellen.

Rechtlich entscheidend war hier allerdings, ob tatsächlich personenbezogene Daten der Klägerin betroffen waren, was diese im Ergebnis nicht nachweisen konnte.

Bemerkenswert ist, dass das OLG Schleswig den Verweis auf „haveibeenpwned.com“ als Beweismittel ablehnte. Es bleibe unklar, auf welcher Grundlage die bekannte Plattform die Betroffenheit einzelner Nutzer feststelle. Gleichzeitig gäbe es keine Möglichkeit, die Korrektheit der dort hinterlegten Informationen gerichtsfest zu überprüfen. Folge eines dortigen Treffers sei weder eine Umkehr der Beweislast noch die Annahme einer sekundären Darlegungslast seitens Twitter. Selbst wenn eine sekundäre Darlegungslast bestehen würde, habe Twitter diese erfüllt.

„Überdies wäre eine etwaige sekundäre Darlegungslast auf der genannten Basis durch die Beklagte erfüllt. Denn sie trägt (unter Beweisantritt durch Zeugnis eines Mitarbeiters) vor, sie habe die Betroffenheit der klägerischen Partei gewissenhaft geprüft und verneint. Eine interne Überprüfung durch Twitter habe ergeben, dass der Account der Klagepartei nicht zu den Twitter-Accounts gehört habe, die von dem API-Bug im Jahr 2021 betroffen waren. Twitter habe zudem eine gründliche Untersuchung des von der Klagepartei beschriebenen Vorfalls durchgeführt und dabei festgestellt, dass man mit Hilfe des vorbezeichneten API-Bugs weder die E-Mail-Adresse noch die Telefonnummer oder den Nutzernamen eines Nutzers direkt aus den Systemen von Twitter erhalten konnte.“

Dass die Klägerin seit dem mutmaßlichen Vorfall ein erhöhtes Spam-Aufkommen festgestellt habe, genügte dem Gericht ebenfalls nicht als hinreichender Beweis, da ein erhöhtes Spam-Aufkommen viele andere Ursachen haben könne.

Folgen für DSGVO-Schadensersatzklagen wegen Datenlecks

Die Entscheidung stellt eine hohe Hürde für Betroffene dar, die wegen Scraping Vorfällen Schadensersatz gemäß Art. 82 DSGVO geltend machen wollen. Der bloße Hinweis auf ein allgemeines Datenleck reicht aus Sicht des OLG Schleswig nicht aus. Aber auch ein Treffer in der Datenbank der Plattform haveibeenpwned.com soll aus Sicht des Gerichts nicht geeignet sein, tauglichen Beweis für die eigene Betroffenheit zu erbringen.

Es stellt sich die Frage, wie in derartigen Konstellationen überhaupt der Nachweis erbracht werden soll, Betroffener wegen Datenlecks zu sein. Unabhängig davon, ob man DSGVO-Schadensersatzklagen wegen Datenlecks befürwortet oder nicht, schränken Entscheidungen wie diese die praktische Durchsetzbarkeit von Schadensersatzansprüchen faktisch erheblich ein.

Autor: Niklas Plutte

Niklas Plutte ist Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz mit Sitz in Mainz. Folgen Sie ihm bei Twitter, Facebook und LinkedIn!

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


Kanzlei Plutte Menü
Kostenlose Ersteinschätzung

Klicken Sie auf den unteren Button, um den Inhalt von VG Wort zu laden.

Inhalt laden