Eine Person, die von dem sogenannten API-Bug bei X (ehemals Twitter) betroffen ist, hat nur dann Anspruch auf Schadensersatz nach der DSGVO, wenn sie den behaupteten Schaden nachweisen kann. Sie trägt die volle Beweislast. Etwaige Informationen auf der bekannten Website “haveibeenpwned.com” reichen nicht aus. (LG Freiburg, Urt. v. 24.05.2024 -Az.: 8 O 304/23).
In der Sache stritten die Parteien über einen sogenannten API-Bug bei X. Der Kläger nutzte den Dienst, die Beklagte war das soziale Netzwerk X.
Der Kläger machte u.a. Unterlassungs- und Schadensersatzansprüche nach der DSGVO geltend.
Wenige Monate zuvor hatte das LG Freiburg in einem identischen Fall Schadensersatz in Höhe von 100,- EUR zugesprochen., vgl. die Kanzlei-News v. 19.03.2024.
Das Gericht entschied dieses Mal anders und wies die Klage vollständig ab.
1. Schadensersatz:
Dieses Mal sei der Kläger nämlich nicht seiner Beweislast nachgekommen.
Die von der Webseite “haveibeenpwned.com” verwendeten Daten habe die Beklagte nämlich erfolgreich entkräften können:
"Die Beklagte hat im vorliegenden Verfahren – anders als es im Verfahren 8 O 122/23 (LG Freiburg (Breisgau), Urteil vom 8. Februar 2024 – 8 O 212/23 –,) der Fall war, in dem das angerufene Gericht aufgrund des dortigen pauschalen Sachvortrags der Beklagten von einer Verletzung der sekundären Darlegungslast der Beklagten ausgegangen ist – dezidiert dargestellt, aufgrund welcher Umstände sie davon ausgehe, dass die Treffermitteilung der Webseite haveibeenpwned.com bezogen auf die Klagepartei des vorliegenden Verfahrens keine verlässliche Grundlage für die Annahme sei, dass diese tatsächlich vom API-Bug 2021 bei der Beklagten betroffen sei.
Insbesondere hat die Beklagte dargestellt, dass haveibeenpwned.com durch die Bezugnahme auf einen Artikel der Internetseite www.bleeping-computer.com mitteile, dass es sich bei den 200 Millionen Datensätzen, die sich im Besitz unberechtigter Dritter befänden, um solche handele, die aufgrund des API-Bugs bei der Beklagten im Jahr 2021 erlangt worden seien. Twitter habe diese Darstellung überprüft und festgestellt, dass weltweit lediglich 5,4 Millionen (und nicht 200 Millionen) Twitter-Nutzer von dem API-Bug betroffen gewesen seien.
Bezüglich dieser Personen stelle Twitter deren Betroffenheit in den entsprechenden Klageverfahren auch unstreitig. Die Website haveibeenpwned.com nehme Bezug auf den „200 M Report“, der aber gerade nicht in Verbindung mit dem API-Bug 2021 bei der Beklagten stehe. Es bestünden nämlich wesentliche Unterschiede zwischen den beiden Datensätzen. Unter anderem erschienen die Datensätze in unterschiedlichen Formaten. Das Format des 200 M-Datensatzes weise auch nicht darauf hin, dass es sich um von Twitter gewonnene Daten handelt.
Im 200 M-Datensatz seien zudem – anders als im 5,4 M Datensatz – gerade keine Twitter-IDs enthalten, die für jedes Nutzerkonto existieren, jeweils einzigartig sind und allein aus Zahlen bestehen. Der 200 M-Datensatz enthielt auch keine Telefonnummern. Bei den im 200 M Report enthaltenen Daten handelt es sich wahrscheinlich um eine Sammlung von Daten, die bereits online über verschiedene Quellen öffentlich zugänglich seien und nicht von Twitter stammten."
Da der Kläger seiner Nachweispflicht nicht nachgekommen sei, bestünde auch kein Anspruch auf Schadensersatz:
"Auf dieses dezidierte Vorbringen hat die Klagepartei, obwohl hinsichtlich ihrer Betroffenheit beweisbelastet, substantiiert nichts erwidert.
Insbesondere hat sie nicht vorgetragen, auf welcher Grundlage der Betreiber der Internetseite https:///haveibeenpwned.com die mögliche Betroffenheit individueller Nutzer ermittelt hat. Allein der Umstand, dass gerichtsbekannt auch das Bundesamt für Sicherheit in der Informationstechnik in einer Pressemitteilung auf die Internetseite https:///haveibeenpwned.com verwiesen hat, genügt nicht für den Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com richtig sind. (…)
Ebenso ist festzustellen, dass auch die Internetseite haveibeenpwned.com selbst im Ergebnis keine verlässliche Verantwortung für die mögliche Zuordnung der Daten des „200 M Reports“ zum API-Bug bei der Beklagten 2021 übernimmt, sondern insoweit ihrerseits lediglich auf die Einschätzung Dritter verweist.
Denn bei Anklicken der Textzeile „over 200M records scraped from Twitter appeared on a popular hacking forum“ erfolgt eine Weiterleitung auf einen Artikel der Internetseite www.bleepingcomputer.com, auf der es ausdrücklich heißt, dass von den Bedrohungsakteuren lediglich „behauptet“ („claimed“, „is allegedly the same“) werde, dass es sich bei den 200 Millionen bzw. 400 Millionen Twitter Profilen um solche handelt, die auf die Sicherheitslücke im Jahr 2021 zurückzuführen seien. Indem die Seite www.haveibeenpwned.com auf diesen Artikel Bezug nimmt, gibt sie also selbst bekannt, dass der Zusammenhang des 200-Millionen-Datensatzes mit der Sicherheitslücke im Jahre 2021 lediglich auf Behauptungen der Bedrohungsakteure zurückzuführen ist (…)."
2. Unterlassung:
Das Unterlassungsbegehren sei bereits unzulässig.
Beantragt hatte die Klägerseite:
“… es zu unterlassen, personenbezogene Daten der Klägerseite, namentlich Telefonnummer und Mailadresse sowie die Twitter-ID Dritten über eine API-Schnittstelle zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen.”
Das Gericht bewertete diesen Antrag als nicht ausreichend bestimmt:
"Das mit der Unterlassungsverpflichtung Begehrte ließe sich vorliegend insbesondere im späteren Vollstreckungsverfahren im tatsächlichen nicht im ausreichenden Maße durch Auslegung unter Heranziehung des Sachvortrags der Klagepartei ermitteln.
Die tatsächliche Gestaltung der Sicherheitsmaßnahmen und die Frage, was Stand der Technik ist, steht vorliegend zwischen den Parteien gerade nicht außer Frage. Ihr Streit würde sich deshalb gerade nicht lediglich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränken lassen.
Die Klagepartei hat ihren Unterlassungsantrag trotz entsprechenden Hinweises nicht auf die konkrete Verletzungsform beschränkt (…)."