Ein Eintrag auf der renommierten Webseite “haveibeenpwned.com” allein genügt nicht, um nachzuweisen, dass ein Kläger durch den API-Bug bei X (ehemals Twitter) betroffen ist (OLG Dresden, Beschl. v. 08.01.2025 - Az.: 4 U 1090/24).
Der Kläger behauptete, er sei Geschädigter eines Datenschutzverstoßes bei der Plattform X (ehemalis Twitter) geworden. Als Nachweis legte er eine Abfrage von der Website “haveibeenpwned.com” vor, die seine E-Mail-Adresse als betroffen auswies.
Die Plattform bestritt, dass klägerische E-Mail-Adresse mit einem Account bei ihr verknüpft war.
In einem Hinweisbeschluss wies das OLG Dresden darauf hin, dass der Kläger seiner Beweislast nicht ausreichend nachgekommen sei.
Der Screenshot von der Webseite “haveibeenpwned.com” sei als Nachweis nicht ausreichend.
"Der Kläger hat mit der vorliegenden Klage zunächst behauptet, er sei Nutzer der von der Beklagten betriebenen Plattform X, bei der er sich mit der Email-Anschrift (…) angemeldet habe. Eine Abfrage mittels dieser Email-Anschrift bei der Website „haveibeenpwned.com“ habe ergeben, dass diese Email-Adresse von einem Datenleck bei Twitter betroffen sei (…).
Mit Schreiben vom 11.04.2023 hat der Prozessbevollmächtigte der Beklagten mitgeteilt, dass mit der von der Klagepartei angegebenen Email-Adresse (…) kein Twitter-Account verbunden und es der Beklagten daher nicht möglich sei, die Identität der betroffenen Person zu identifizieren (…)."
Und weiter:
"Dem ist der Kläger nicht substantiiert entgegengetreten.
Die alleinige Bezugnahme auf eine Abfrage bei dieser Webseite belegt für sich genommen jedoch nicht, dass der Kläger sich mit der angegebenen Email-Anschrift bei der Beklagten registriert, ein Nutzerkonto im relevanten Zeitraum unterhalten hat und - bezogen darauf - von einem Datenhacking im Jahr 2023 betroffen gewesen ist, das auf Datenschutzverstöße bei der Beklagten zurückzuführen ist. (…)
Vor diesem Hintergrund hätte es ihm oblegen, mit der Berufungsbegründung seine konkrete Betroffenheit vom Datenleck nachzuweisen, da sich entgegen seiner Ansicht die Betroffenheit nicht bereits aus einer Auskunft der Webseite „haveibeenpwned.com“ ergibt und infolge der Anmeldung unter einem Aliasnamen bzw. einem Pseudonym nicht ohne weiteren Sachvortrag oder geeignete Nachweise nachvollzogen werden kann.
Es ist bereits nicht hinreichend geklärt und kann auch nicht mittels dieser Auskunft geklärt werden, ob die Email-Adresse vom Kläger genutzt wird oder wurde, und mit welchen konkreten Daten der Kläger betroffen sein soll."