Ein Betroffener des sogenannten API-Bugs bei X (ehemals Twitter) hat gegen den Social Media-Dienst keinen DSGVO-Schadensersatzanspruch, da Informationen von der Webseite “haveibeenpwned.com” kein ausreichender Nachweis sind(LG Stuttgart, Urt. v. 24.01.2024 - Az.: 27 O 92/23).
Die Auseinandersetzung zwischen den Parteien drehte sich um einen Fehler in der Programmierschnittstelle (API) von X.
Die Klägerin, ein Nutzerin von Twitter, machte von dem Service Gebrauch. Auf der anderen Seite stand das Unternehmen X (ehemals Twitter), welches die Website twitter.com betrieb.
1. API-Bug bei X:
Im Juni 2021 trat bei der Beklagten ein Fehler in der API-Schnittstelle auf:
"Im Sommer des Jahres 2021 bestand beim Twitter-Dienst eine offene API-Schnittstelle. Hierbei handelt es sich um eine Schnittstelle zum Austausch von Informationen zwischen zwei unabhängigen Softwarekomponenten. Diese offene Schnittstelle ermöglichte es Hackern, durch das Probieren zufällig gewählter E-Mail-Adressen und Mobiltelefonnummern im Falle eines „Treffers“ - d.h. einer real existenten und bei Twitter hinterlegten E-Mail-Adresse oder Telefonnummer - aus den Systemen von Twitter die für den Nutzer vergebene Identifikationsnummer (Twitter-ID) zu erhalten.
Dieser sog. API-Bug ermöglichte es Hackern, die Twitter-Accounts der betroffenen Nutzer aufzufinden. Ob die offene Schnittstelle es darüber hinaus ermöglichte, bei Twitter hinterlegte, vom jeweiligen Nutzer aber nicht auf seinem Account öffentlich gemachte Daten wie Klarname und Geburtsdatum aus den Systemen von Twitter zu erlangen, ist zwischen den Parteien streitig."
2. Kein Anspruch auf DSGVO-Schadensersatzanspruch, da Hinweis auf “haveibeenpwned.com” nicht ausreichend:
Das Gericht wies die Klage jedoch ab, da die Klägerin nicht nachweisen konnte, dass sie überhaupt betroffen gewesen sei.
Der Kläger hatte als Beleg Ausdrücke von der bekannten Webseite “haveibeenpwned.com” eingereicht. Dies reichte für das Gericht jedoch nicht aus:
"Der Beweisantritt der Klägerin besteht darin, dass die von dem australischen Sicherheitsforscher Tony Hunt betriebene Internetplattform https:///haveibeenpwned.com unter Eingabe der E-Mail-Adresse der Klägerin ihre Betroffenheit ausweise. Dem Beweisangebot der Klägerin, diese Internetseite in Augenschein zu nehmen und die E-Mail-Adresse a[...]@aol.com einzugeben, ist das Gericht nachgegangen, wie in der mündlichen Verhandlung erörtert worden ist.
Es trifft demnach zu, dass die Internetseite https:///haveibeenpwned.com die Betroffenheit der Klägerin von dem API-Bug bei Twitter ausweist, was die Beklagte auch nicht ausdrücklich bestritten hat.
Hieraus ergibt sich aber nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend sind und die Klägerin von dem API-Bug tatsächlich betroffen ist."
Und weiter:
"Es ist nicht bekannt, auf welcher Grundlage der Betreiber der Internetseite https:///haveibeenpwned.com Tony Hunt (oder Troy Hunt) die Betroffenheit individueller Nutzer ermittelt.
Allein der Hinweis der Klägerin in ihrem nachgelassenen Schriftsatz vom 20.12.2023, dass auch das Bundesamt für Sicherheit in der Informationstechnik in einer Pressemitteilung auf die Internetseite https:///haveibeenpwned.com verwiesen hat, genügt nicht für den Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com richtig sind. Die von der Klägerin in ihrem nachgelassenen Schriftsatz in Bezug genommene Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik stammt vom 17.01.2019 und hat mit dem streitgegenständlichen API-Bug bei Twitter nichts zu tun.
Soweit das Bundesamt für Sicherheit in der Informationstechnik in der Pressemitteilung ausgeführt hat, „Angaben des IT-Sicherheitsforschers Troy Hunt zufolge, der den Datensatz aufgefunden hat, können Internetnutzer über die Plattform https:///haveibeenpwned.com prüfen, ob ihre E-Mail-Adressen und Zugangsdaten in dem aktuellen Datenfund enthalten sind“, ergibt sich daraus auch nicht die Auffassung des Bundesamts für Sicherheit in der Informationstechnik nicht, dass die Angaben der in Bezug genommenen Internetseite über jeden Zweifel erhaben wären.
Überdies bezieht sich diese Pressemitteilung gerade auf einen Datensatz, welcher von dem IT-Sicherheitsforscher Troy Hunt selbst im Internet aufgefunden worden sein soll. Hieraus ergibt sich ein Anhaltspunkt, weshalb Troy Hunt als Betreiber der Internetseite https:///haveibeenpwned.com den Inhalt des im Internet veröffentlichten Datensatzes kennt. Woher Troy Hunt hingegen verlässliche Kenntnis davon haben soll, welche Twitter-Accounts von dem API-Bug betroffen sind, wird von der Klägerin nicht erläutert und bleibt damit offen.
Ergänzend ist noch anzumerken, dass sich die Behauptung der Klägerin, im Rahmen des API-Bug hätten auch Daten über ihr Geschlecht und ihr Geburtsdatum erlangt werden können, aus der von der Klägerin selbst in Bezug genommen und für verlässlich angesehenen Internetseite https:///haveibeenpwned.com gerade nicht ergibt. Diese vom Gericht eingesehene Website nennt weder das Geschlecht noch das Geburtsdatum als von dem API-Bug bei Twitter betroffene Daten."
Etwas anderes ergebe sich auch nicht aus dem Umstand, dass (möglicherweise) bei der Klägerin ein erhöhtes Spam-Aufkommen festzustellen gewesen sei:
"Auch die Angaben der Klägerin im Rahmen ihrer Parteianhörung, ab Anfang des Jahres 2022 ein erhöhtes Spamaufkommen festgestellt zu haben, genügt zum Nachweis ihrer Betroffenheit von dem API-Bug nicht.
Abgesehen davon, dass das Datenleck bei Twitter nach dem Vortrag der Klägerin schon im Juni 2021 und nicht erst Anfang 2022 bestanden haben soll, begründet allein ein vermehrtes Spamaufkommen nicht den Nachweis, hierfür müsse ein Datenleck bei Twitter ursächlich sein. Namentlich die von der Klägerin beschriebenen Spam-Nachrichten, durch welche eine Mitteilung eines angeblichen Paketdienstleisters wie beispielsweise DHL fingiert wird, treten auch bei dem erkennenden Einzelrichter sowie dessen Familienmitgliedern auf, obwohl niemand einen Twitter-Account unterhält."
Anmerkung von RA Dr. Bahr:
Das LG Freiburg (Urt. v. 08.02.2024 - Az.: 8 O 212/23) sah den Fall komplett anders und ließ den Hinweis auf “haveibeenpwned.com” genügen und verurteilte X zu 100,- EUR DSGVO-Schadensersatz, vgl. unsere Kanzlei-News v. 19.03.2024.