Wir beleuchten drei wichtige Gerichtsentscheidungen, die sich mit den Data-Scraping-Vorfällen bei Twitter, jetzt X, beschäftigen. Diese Urteile konkretisieren die Anforderungen an die Darlegungs- und Beweislast der Kläger, die nach einem Datenschutzvorfall Schadensersatzansprüche verlangen.
1. Was ist Data-Scraping?
Data-Scraping bezeichnet das automatisierte Sammeln von Daten von Webseiten oder Datenbanken. Bei Twitter (heute: „X“) konnten Hacker 2021 über eine ungesicherte API-Schnittstelle E-Mail-Adressen oder Telefonnummern eingeben und bei Übereinstimmung alle öffentlich zugänglichen Nutzerdaten abgreifen. Diese Datensätze wurden im Darknet verkauft.
Weitere Informationen zu Data-Scraping finden Sie in unserem Beitrag zu einem Urteil des OLG Hamm: Kein immaterieller Schaden bei Facebook-Scraping.
2. Abfrage bei „www.haveibeenpwned.com“ kann Anhaltspunkte für die eigene Betroffenheit liefern
Um einen Schadensersatzanspruch nach Artikel 82 DSGVO geltend zu machen, muss der Kläger (u.a.) nachweisen, dass der Datenschutzverstoß von Twitter zu einem Schaden geführt hat. Er muss also nachweisen, dass seine personenbezogenen Daten vom API-Bug 2021 betroffen waren.
Der Kläger legte dem Gericht eine Bestätigung der Website „haveibeenpwned.com“ vor, über die Nutzer eine Kompromittierung persönlicher Daten durch Datenlecks prüfen können. Da der von einem Leck betroffene Datensatz mit den vom Nutzer bei Twitter eingegebenen Daten übereinstimmte, entschied das Landgericht Freiburg in seinem Urteil vom 08.02.2024 (Az. 8 O 212/23), dass sich daraus hinreichende Anhaltspunkte für die Betroffenheit des Klägers ergäben. Twitter musste im Rahmen der sekundären Darlegungslast weitere Nachforschungen anstellen. Da dies nicht erfolgte, wurde dem Kläger Schadensersatz zugesprochen.
3. Der Kläger kann sich nicht mit Nichtwissen erklären
In einem zweiten Prozess genügte Twitter seiner sekundären Darlegungslast und konnte nach einer umfassenden Untersuchung nachweisen, dass die Daten des Klägers nicht vom API-Bug 2021 betroffen waren. Zutreffend wies das Oberlandesgericht Hamm in seinem Hinweisbeschluss vom 14.05.2024 (Az.: 7 I 14/24) darauf hin, dass der Kläger sich als darlegungs- und beweisbelastete Partei hierzu nicht mit Nichtwissen erklären könne. Dies entspricht den allgemeinen prozessualen Grundsätzen. Der Kläger nahm auf den Beschluss seine Berufung zurück.
4. Abfrage bei „www.haveibeenpwned.com“ ist kein Vollbeweis
Doch wie kann der Kläger nun den erforderlichen Beweis erbringen?
Die bloße Bestätigung der Betroffenheit durch die Website „haveibeenpwned.com“ reicht jedenfalls nicht aus. Eine Klägerin scheiterte mit diesem Versuch vor dem Landgericht Stuttgart. Das Gericht kam in seinem Urteil vom 24.01.2024 (Az.: 27 O 92/23) zu dem Schluss, dass die Bestätigung kompromittierter personenbezogener Daten durch die Website „haveibeenpwned.com“ keinen Vollbeweis liefere. Es sei von der Richtigkeit der Darstellung nicht überzeugt. Zum einen ergebe sich aus der Bestätigung nicht, dass die Angaben zutreffend und der inkriminierte Datensatz auf den API-Bug 2021 zurückzuführen sei. Zum anderen sei nicht bekannt, auf welcher Grundlage der Betreiber der Internetseite die Betroffenheit individueller Nutzer ermittle.
Auch der klägerische Vortrag, wonach diese ein erhöhtes Spamaufkommen festgestellt habe, reicht dem Gericht nicht zum Nachweis der Betroffenheit. Hierzu führt es aus: „Namentlich die von der Klägerin beschriebenen Spam-Nachrichten, durch welche eine Mitteilung eines angeblichen Paketdienstleisters wie beispielsweise DHL fingiert wird, treten auch bei dem erkennenden Einzelrichter sowie dessen Familienmitgliedern auf, obwohl niemand einen Twitter-Account unterhält.”
