Ein Betroffener des sogenannten API-Bugs bei X (ehemals Twitter) hat gegen den Social Media-Dienst nur dann einen DSGVO-Schadensersatzanspruch, wenn er den behaupteten Nachteil nachweisen kann. Ihn trifft die volle Beweislast (OLG Hamm, Beschl. v. 14.05.2024 - Az.: 7 U 14/24).
Der Streit zwischen den Parteien bezog sich auf einen Fehler in der Programmierschnittstelle (API) von X.
In der 1. Instanz verlor der Kläger, weil er den behaupteten Schaden iHv. 3.000,- EUR nicht nachweisen konnte.
In der Berufungsinstanz teilte das OLG Hamm diese Einschätzung und erließ einen entsprechenden Hinweisbeschluss.
1. Kein DSGVO-Schadensersatz:
Hinsichtlich des Schadensersatz-Begehrens führte das Gericht aus:
"3. Im Hinblick auf den Klageantrag zu 3 fehlt es, soweit Ersatz materieller Schäden begehrt wird, bereits an der erforderlichen Darlegung der Wahrscheinlichkeit eines Schadenseintritts.
Die entfernte Möglichkeit eines Schadenseintritts reicht im vorliegenden Fall deswegen nicht aus, weil anders als in dem Senatsurteil vom 15.08.2023 zu Grunde liegenden Fall von einer Verletzung das klägerischen Rechts an seinen persönlichen Daten nicht ausgegangen werden kann.
Lediglich für den Fall, dass der Kläger behauptet, eine Rechtsgutsverletzung sei schon eingetreten, lässt die Rechtsprechung des Bundesgerichtshofs die praktische Möglichkeit von Zukunftsschäden ausreichen (BGH Urt. v. 16.01.2001 – VI ZR 381/99, juris Rn. 7). Hieran fehlt es. Zwar behauptet der Kläger, seine Daten seien vom Datenvorfall bei der Beklagten betroffen. Dies hat er allerdings ohne jeglichen Anhaltspunkt behauptet, weswegen – auch bereits im Rahmen der Zulässigkeit – sein Vortrag insoweit unbeachtlich ist.
Selbst wenn man abweichend hiervon die entfernte, aber nicht nur theoretische Möglichkeit eines Schadenseintritts ausreichen ließe (…), ergäbe sich im Ergebnis nichts anderes. Im Hinblick auf die Sensibilisierung des Klägers für mögliche Phishing-Nachrichten ist nicht mit dem Eintritt eines Schadens zu rechnen."
2. Kein Anspruch auf API-Schnittstelle nach dem Stand der Technik:
Zusätzlich verlangte der Kläger vor Gericht,
“zu unterlassen, personenbezogene Daten der Klägerseite, namentlich Telefonnummer und Mailadresse sowie die W.-ID Dritten über eine API-Schnittstelle zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen”.
Auch dieses Verlangen wiesen die Robenträger zurück:
"Der Klageantrag zu 4, der darauf gerichtet ist, eine API-Schnittstelle ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen zu unterbinden, ist auch hier nicht zuletzt im Hinblick auf § 890 Abs. 2 ZPO und § 259 ZPO unzulässig (…).
Nach Feststellung des Landgerichts ist die streitgegenständliche Funktion des monierten Tools unstreitig nicht mehr existent."