Ein Eintrag auf der bekannten Webseite “haveibeenpwned.com” reicht nicht aus, damit ein Kläger seine Betroffenheit durch den API-Bug bei X (ehemals Twitter) nachweist (OLG Schleswig, Beschl. v. 16.10.2024 - Az.: 5 U 56/24).
In dem Fall machte die Klägerin DSGVO-Ansprüche wegen des sogenannten API-Bugs bei X (ehemals Twitter) gegen den Social-Media-Dienst geltend. Als Beweis dafür, dass sie von der technischen Lücke betroffen war, legte sie einen Auszug von “haveibeenpwned.com” vor.
Dies reichte dem LG Lübeck jedoch nicht aus, so dass das Gericht die Klage abwies (LG Lübeck, Urt. v. 28.03.2024 - Az.: 15 O 203/23).
Im Rahmen der Berufung erteilte das OLG Schleswig nun einen Hinweisbeschluss.
Die Rechtsansicht des LG Lübeck sei zutreffend, da die Webseite "haveibeenpwned.com" keine verlässliche Grundlage biete. Insbesondere sei die Methode der Datenerhebung unklar.
Eine Umkehr der Beweislast oder eine sekundäre Darlegungslast der Beklagten komme ebenfalls nicht in Betracht.
Auch ein erhöhtes Spamaufkommen im E-Mail-Postfach sei kein ausreichender Beweis für eine Datenpanne bei X.
"Die klägerische Partei hat (…) zur Darlegung ihrer Betroffenheit auf bei Eingabe ihrer E-Mail-Adresse einzusehende Einträge auf der Plattform havibeenpwned.com verwiesen. Dazu erklärt sie, dass selbst das Bundesamt für Informationssicherheit (BSI) auf diese Seite zur Feststellung der Betroffenheit von einem Datenleck verweise. (…)
Dies bildet kein hinreichendes Indiz für eine Betroffenheit der klägerischen Partei. Dazu heißt es auf der Seite (…): "„Grundsätzlich ist bei der Nutzung solcher Portale zu beachten, dass für Zugangsdaten häufig die Kombination aus E-Mail-Adresse und Passwort verwendet wird. In den Datenbanken wird allerdings in der Regel nur die E-Mail-Adresse mit dem Datenbestand abgeglichen. Die Rückmeldung, dass die E-Mail-Adresse in dem Datenbestand enthalten ist, kann
sich also auf jeden Account beziehen, bei dem diese E-Mail-Adresse zum Zugang genutzt wird, eine direkte Zuordnung ist nicht möglich.“.Wenn dies aber so ist, ist die Verlässlichkeit der in Bezug genommenen Plattform hinsichtlich einer Wahrscheinlichkeit der Betroffenheit der klägerischen Partei zu vernachlässigen.
Darüber hinaus ist die Würdigung des Landgerichts insoweit überzeugend, wenn es ausführt, dass nicht bekannt sei, auf welcher Grundlage der Betreiber der Internetseite, Troy Hunt, die Betroffenheit individueller Nutzer ermittele. Tatsächlich mögen die Seitenbetreiber auf der Internetseite zwar ausführen, sie hätten sich die Leak-Protokolle besorgt, der Wahrheitsgehalt dieser Aussage ist indes nicht erkennbar.
Und hinsichtlich des erhöhten Spam-Aufkommens:
"Darüber hinaus ist die Würdigung des Landgerichts überzeugend, dass auch die schriftsätzlichen Angaben der klägerischen Partei, ein erhöhtes Spamaufkommen festgestellt zu haben, zum Nachweis seiner Betroffenheit von dem API-Bug keinesfalls ausreiche.
Ab wann genau welche Spam-Mails mehr geworden sein sollen ist zunächst nicht klar.
Ein vermehrtes Spamaufkommen allein bildet zudem nicht den Nachweis dafür, dass hierfür ein Datenleck bei Twitter ursächlich sein muss. Die vom Kläger beschriebenen Spam-Nachrichten können mit derselben Wahrscheinlichkeit auch auf die anderen Internetnutzerkonten der klägerischen Partei, die diese bei anderen Anbietern als der Beklagten unterhält, zurückzuführen sein, da die klägerische Partei dort ebenfalls die streitgegenständliche E-Mail-Adresse hinterlegt hat."