Screenshots von der bekannten Webseite haveibeenpwned.com belegen nicht, dass ein Anspruchsteller vom Gravatar-Datenleck betroffen und einen DSGVO-Schadensersatzanspruch hat (OLG Dresden, Beschl. v. 18.06.2024 - Az.: 4 U 156/24).
Inhaltlich ging es um das im Jahr 2021 bekannt gewordene Datenleck beim Onlinedienst Gravatar.
Der Kläger war nicht bei Gravatar registriert. Er war jedoch ist mit seiner E-Mail-Adresse als Nutzer bei WordPress.com, einem anderen Dienst der Beklagten, registriert. Nutzer von WordPress.com konnten u.a. mit den angebotenen Funktionen eine Webseite entwerfen. Wenn ein Nutzer ein WordPress.com-Nutzerkonto erstellte, reservierte die Beklagte diesem Nutzer automatisch ein Gravatar-Nutzerkonto für den Nutzernamen.
Der Kläger machte nun u.a. einen DSGVO-Schadensersatz iHv. mindestens 3.000,- EUR geltend und legte als Nachweis für die Betroffenheit Screenshots der bekannten Webseite “haveibeenpwned.com” vor.
Das OLG Dresden stellte fest, dass dies als Nachweis nicht ausreiche:
"Aus dem von dem Kläger vorgetragenen Auszug aus der Webseite von Gravatar ergibt sich nicht, dass ein Datenaustausch zwischen Gravatar und der vom Kläger genutzten Webseite WordPress.com stattfindet. Dort heißt es wie folgt:
„If you have registered for an account on WordPress.com, you will also have a Gravatar URL reserved for you based on your WordPress.com username. You can create your Gravatar account by uploading a photo to your WordPress.com profile or by logging in to Gravatar at any time using your WordPress.com credentials. If you don’t yet have a WordPress.com account, you’ll need to sign up for one to use Gravatar.“
Daraus ergibt sich lediglich, dass eine Gravatar URL basierend auf dem Nutzernamen von WordPress.com reserviert ist.
Dies hatte die Beklagte in erster Instanz bereits vorgetragen."
Und weiter:
"Eine Datenübermittlung von WordPress ist diesem Hinweis nicht zu entnehmen.
Die Beklagte hat vorgetragen, dass keine Daten eines Nutzers von WordPress.com an den Dienst Gravatar übermittelt werden. Vielmehr werde das Nutzerkonto und die zugehörige URL (…) lediglich bei der Beklagten intern reserviert, jedoch nicht im Internet „veröffentlicht“. Das reservierte Nutzer-Profil des Klägers mit dem Nutzernamen (…) sei nicht im Internet abrufbar gewesen.
Im Übrigen hat die Beklagte zwar das Scraping im Oktober 2020 eingeräumt, aber mitgeteilt, nicht sagen zu können, wann welche Nutzerdaten abgegriffen worden sind.
Unabhängig von der fehlenden Aktivlegitimation des Klägers hat er auch nicht schlüssig vorgetragen, von einem Scarping bei der Beklagten betroffen zu sein.
Ob eine positive Meldung hinsichtlich der e-mail Adresse auf der website „haveIbeenpwnd.com„ ausreicht, kann hier offenbleiben, jedenfalls lässt die Vorlage des Screenshots der Seite „haveIbeenpwnd.com“, keinerlei Rückschlüsse darauf zu, wo und wann ein Datenleck aufgetreten ist. Der Kläger ist schließlich bei zahlreichen anderen sozialen Medien - wie Facebook, Instagram, TikTok, Twitter und Pinterest - registriert.
Die Vorlage eines Artikels aus der online Zeitschrift „Der Spiegel“ stellt ebenfalls kein taugliches Beweismittel für die Betroffenheit des Klägers dar. Zumal in dem Artikel darauf hingewiesen wird, dass man von einem Datenleck betroffen sein „könnte“, wenn man sich auf einer der Seiten registriert hat."