Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

LG Freiburg: 100,- EUR DSGVO-Schadenersatz gegen Twitter bzw. X wegen API-Bug

Twitter bzw. X muss wegen Datenschutzverstoß (API-Bug) 100,- EUR Schadensersatz zahlen.

Ein Betroffener des sogenannten API-Bugs bei Twitter hat gegen den Social Media-Dienst einen DSGVO-Schadensersatzanspruch iHv. 100,- EUR (LG Freiburg, Urt. v. 08.02.2024 -Az.: 8 O 212/23).

Inhaltlich stritten die Parteien um den sogenannten API-Bug bei Twitter. 

Der Kläger war Twitter-User und nutzte den Dienst. Die Beklagte war das soziale Netzwerk Twitter bzw. X und betrieb die Webseite twitter.com.

1. Inhalt des API-Bugs:

Im Juni 2021 kam es bei der Beklagten zu einem Fehler in der API-Schnittstelle:

"Dieser bestand darin, dass es nach einem Update für eine bestimmte Zeit über eine nicht durch Sicherheitsmaßnahmen eingeschränkte API-Schnittstelle Dritten, die sich bereits im Besitz der E-Mail-Adresse oder Telefonnummer eines Nutzers befanden, möglich war, mittels Eingabe dieser Daten die Twitter-ID ebenjenes Nutzers zu erhalten und dann mit der schon vorhandenen E-Mailadresse / Telefonnummer zu verknüpfen. Ebenso war dies einem Dritten möglich, wenn willkürlich E-Mail-Adressen und Handynummern – beispielsweise bezogen auf Handynummer mit Rufnummernaufzählung - durchprobiert wurden. 

Ergab der dann nachfolgende Abgleich zwischen den eingespeisten Daten und der bei Twitter vorhandenen Nutzer- Datenbank über die API-Schnittstelle einen Treffer, wurde die Twitter-ID des Nutzers übermittelt und dem Dritten bekannt gegeben. Aufgrund der vorübergehenden Programmierung der API-Schnittstelle war es möglich, mithilfe der E-Mail-Adresse oder Telefonnummer die Nutzer auch dann aufzufinden, wenn dies – wie bei der Klagepartei – aufgrund der standardisierten Einstellungen hätte ausgeschlossen sein sollen. 

Mit Hilfe der so erlangten Twitter-ID konnten kriminelle Akteure im Wege des Daten-Scrapings die im Account hinterlegten öffentlich zugänglichen Stammdaten des jeweiligen Nutzers visualisieren und abgreifen und die in Summe abgegriffenen Daten in einen einheitlichen Datensatz konvertieren."

Und weiter:

"Welche Datenpunkte in dem so zusammengestellten Datensatz enthalten waren, war dabei jeweils davon abhängig, wie viele Daten der Nutzer in seinem Twitter Profil angegeben hat. Grundsätzlich konnten es sein: E-Mail-Adresse, Telefonnummer, Twitter-ID, Namen des Nutzers (wenn im Profil eingegeben), Accountnamen des Nutzers (wenn im Profil eingegeben), Verifizierungsstatus des Nutzers (wenn im Profil eingegeben), Wohnort des Nutzers (wenn im Profil eingegeben), Anzahl der Freunde des Twitter Nutzers (wenn im Profil eingegeben), Favoritenlisten des Nutzers (wenn im Profil eingegeben), URLs zu dem Profilbild des Nutzers (wenn im Profil eingegeben), Geburtstag des Nutzers (wenn im Profil eingegeben).

Im Juni 2022 wurde, weil die abgegriffenen Daten in einem bekannten Hacker-Forum zum Download angeboten wurden, bekannt, dass unbefugte Dritte in einer Vielzahl von Fällen den API-Bug dazu genutzt hatten, Twitter-ID von Nutzern in Erfahrung zu bringen, mit der eingegebenen Handynummer oder E-Mail-Adresse zu verknüpfen und dann im Profil als öffentlich eingestellte Daten abzurufen. In einer allgemeinen Pressemitteilung vom 05.08.2022 führte die Beklagte dazu folgendes aus:"

2. Ansprüche des Users: Unterlassung und Schadensersatz:

Der User machte daraufhin umfangreiche Ansprüche geltend, u.a. Unterlassung und Schadensersatz.

Das Gericht sprach dem Kläger jedoch nur einen sehr geringen Teil zu, so u.a. nur 100,- EUR DSGVO-Schadensersatz.

a. Unterlassung:

Das Gericht lehnte den Unterlassungsanspruch insbesondere deshalb weil, weil er prozessual nicht hinreichend bestimmt gestellt worden sei, so die Richter.

Das gerichtlich geltend gemachte Begehren lautete wörtlich:

“Die Beklagte wird verurteilt, für jeden Fall der Zuwiderhandlung ein vom Gericht festzusetzenden Ordnungsgeldes bis zu € 250.000,00 (…) zu unterlassen, personenbezogene Daten der Klägerseite, namentlich Telefonnummer und Mailadresse sowie die Twitter-ID Dritten über eine API-Schnittstelle zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen.”

Das Gericht war der Ansicht, dass der Begriff “Stand der Technik” nicht ausreichend bestimmt und die Klage daher bereits unzulässig sei:

"Das mit der Unterlassungsverpflichtung Begehrte ließe sich vorliegend insbesondere im späteren Vollstreckungsverfahren im tatsächlichen nicht im ausreichenden Maße durch Auslegung unter Heranziehung des Sachvortrags der Klagepartei entnehmen. 

Die tatsächliche Gestaltung der Sicherheitsmaßnahmen und die Frage, was Stand der Technik ist, steht vorliegend zwischen den Parteien gerade nicht außer Frage. Ihr Streit würde sich deshalb gerade nicht lediglich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränken lassen. 

Die Klagepartei hat ihren Unterlassungsantrag trotz entsprechenden Hinweises nicht auf die konkrete Verletzungshandlung beschränkt (…)."

Aber auch aus inhaltlichen Gründen lehnten die Robenträger den Anspruch ab. Denn es bestünde nach der DSGVO nur die Pflicht auf ein angemessenes Datenschutzniveau:

"Denn die Beklagte trifft als Verantwortliche keine Verpflichtung, die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen.

1. Zwar folgt aus Art. 32 Abs. 1 und 2 DSGVO, dass der Verantwortliche ein dem Risiko eines unbefugten Zugangs zu personenbezogenen Daten angemessenes Schutzniveau zu gewährleisten hat. Dabei liegt es im Ermessen des Verantwortlichen, aus der Vielzahl möglicher Maßnahmen, die das Risiko der Datenverarbeitung reduzieren können, konkrete Maßnahmen auszuwählen, durch die nach seiner Einschätzung ein angemessenes Schutzniveau erreicht wird (…). 

Allerdings ist wesentlich, dass nicht alle möglichen Maßnahmen zur Gewährleistung von Datensicherheit zu ergreifen sind, sondern nur solche, die unter Abwägung zwischen Schutzzweck und Aufwand unter Berücksichtigung der Arten der Daten, dem Stand der Technik und den anfallenden Kosten als verhältnismäßig anzusehen sind (…). Denn die DSGVO verlangt keine Datensicherheit um jeden Preis und verpflichtet den Verantwortlichen nicht zu einem absoluten Schutz der personenbezogenen Daten; vielmehr muss das Schutzniveau dem jeweiligen Einzelfall angemessen sein, wobei Risiken nicht gänzlich ausgeschlossen werden können (…).

2. Die Klagepartei kann daher lediglich ein angemessenes Schutzniveau bzw. die Unterlassung einer Datenverarbeitung ohne dieses verlangen. Darauf, dass eines der Abwägungskriterien in den Vordergrund gestellt wird, hat sie ebenso wenig Anspruch wie auf das Ergreifen konkreter Maßnahmen (…)."

b. DSGVO-Schadensersatz:

Das Gericht sah es als erwiesen an, dass durch den API-Fehler der Kläger einen Schaden erlitten habe:

"Im streitgegenständlichen Fall ist das Gericht davon überzeugt, dass dem Kläger nach Maßgabe dessen ein kausal auf die Verstöße der Beklagten zurückzuführender immaterieller Schaden zugefügt wurde.

(aa) Der Kläger hat in seiner informatorischen Anhörung erklärt, dass er seit ungefähr einem Jahr stark vermehrt Spam-E-Mails erhalte. Derzeit erhalte er ungefähr 100 Spam-E-Mails pro Monat. Vor zwei oder drei Jahren habe er sich ein Ersatz-E-Mail-Konto eingerichtet, auf dem er nie Spam-E-Mails erhalte. Der Spam-Ordner in seinem ursprünglichen E-Mail-Konto sei immer proppenvoll. Er habe auch schon einmal wichtige Nachrichten verpasst, weil der Spam-Filter von googlemail sie aus Versehen in den Spam-Ordner einsortiert habe.

Er empfinde es als sehr lästig, so viele Spam-E-Mails zu erhalten. Er habe außerdem Angst, versehentlich einmal auf einen Viren-Link zu klicken, wodurch auf seinem – auch dienstlich genutzten – Computer ein Bot installiert werden könnte. Er habe auch Angst davor, was passiert, wenn jemand mit seiner E-Mail-Adresse und in seinem Namen etwas rausschickt an seine Kontakte. Die Frage seines Prozessbevollmächtigten, ob er Angst vor Missbrauch seiner Daten habe, bejahte er. Er hätte beispielsweise Angst davor, dass jemand unter seinem Namen etwas verschickt. Er habe es selbst schon erlebt, dass er E-Mails bekomme von Leuten, die er tatsächlich kenne. Er hätte eben Angst, dass jemand etwas Ähnliches mit seiner E-Mail-Adresse täte, beispielsweise auch, dass jemand Geschäfte mit seiner E-Mail-Adresse mache oder mit seiner E-Mail-Adresse im Darknet unterwegs sei."

Das Gericht wertete dies als ausreichend, um einen Schaden zu bejahen:

"Der Schaden des Klägers liegt nicht in dem vermehrten Aufkommen an Spam-E-Mails. Die damit einhergehenden Beeinträchtigungen erschöpfen sich in einer Verärgerung über den Mehraufwand für das Aussortieren unerwünschten Spam-E-Mails. Ebenfalls kein kausaler Schaden liegt darin, dass der Kläger in der Vergangenheit vereinzelt wichtige Nachrichten verpasst hat. (…)

Der Schaden des Klägers liegt aber in seiner konkret-individuell und damit glaubhaft geschilderten Angst vor einer missbräuchlichen Verwendung seiner E-Mail-Adresse durch Dritte. Der Kläger hat zunächst spontan berichtet, dass er Angst davor hätte, dass unter seiner E-Mail-Adresse Nachrichten an seine Kontakte verschickt würden. Darauf kam er auf konkrete Nachfrage seines Prozessbevollmächtigten noch einmal zurück. Diese Sorge vor einem Missbrauch kann unter den gegebenen Umständen auch als begründet angesehen werden, weil nicht ausgeschlossen werden kann, dass die E-Mail-Adresse des Klägers missbräuchlich verwendet wird (…)."

Ohne wirkliche Begründung, sondern vielmehr mit allgemeinen Ausführungen bestimmte das Gericht dann eine Schadenshöhe von 100,- EUR:

“Im streitgegenständlichen Fall hält das Gericht unter Berücksichtigung der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadenersatzes einen Betrag in Höhe von 100 € erforderlich, aber auch ausreichend. Dabei fließt anspruchserhöhend ein, dass der Beklagten mehrere schadensursächliche Verstöße gegen die DSGVO zur Last zu legen sind. Anspruchsmindernd ist zu berücksichtigen, dass es sich bei den gescrapten Daten lediglich um die E-Mail-Adresse, nicht jedoch um besonders sensible Informationen wie Gesundheits- oder Kontodaten handelt.”

Rechts-News durch­suchen

04. Dezember 2024
Die DSGVO-Informationspflicht-Ausnahme nach Art. 14 Abs. 5 gilt auch für selbst erzeugte personenbezogene Daten.
ganzen Text lesen
03. Dezember 2024
Eine Datenschutzbehörde darf Maßnahmen nur ergreifen, wenn der Verantwortliche für einen Datenschutzverstoß eindeutig feststellbar ist.
ganzen Text lesen
02. Dezember 2024
Die Nutzung von Adressdaten eines Kunden für Briefwerbung ist nach der DSGVO grundsätzlich zulässig, solange keine überwiegenden Interessen des…
ganzen Text lesen
19. November 2024
Der BGH hat entschieden, dass ein bloßer Kontrollverlust über persönliche Daten nach der DSGVO einen immateriellen Schaden begründen kann.
ganzen Text lesen

Rechts-News durchsuchen