OLG Schleswig: Eintrag auf haveibeenpwned.com nicht ausreichend, um Betroffenheit von API-Bug bei X (ehemals Twitter)…
OLG Schleswig: Eintrag auf haveibeenpwned.com nicht ausreichend, um Betroffenheit von API-Bug bei X (ehemals Twitter) nachzuweisen 23. Januar 2025 Ein Eintrag auf „haveibeenpwned.com“ oder vermehrter Spam reicht nicht als Beweis für eine Betroffenheit durch den API-Bug bei X.Ein Eintrag auf der bekannten Webseite “haveibeenpwned.com” reicht nicht aus, damit ein Kläger seine Betroffenheit durch den API-Bug bei X (ehemals Twitter) nachweist (OLG Schleswig, Beschl. v. 16.10.2024 – Az.: 5 U 56/24).In dem Fall machte die Klägerin DSGVO-Ansprüche wegen des sogenannten API-Bugs bei X (ehemals Twitter) gegen den Social-Media-Dienst geltend. Als Beweis dafür, dass sie von der technischen Lücke betroffen war, legte sie einen Auszug von “haveibeenpwned.com” vor.Dies reichte dem LG Lübeck jedoch nicht aus, so dass das Gericht die Klage abwies (LG Lübeck, Urt. v. 28.03.2024 – Az.: 15 O 203/23).Im Rahmen der Berufung erteilte das OLG Schleswig nun einen Hinweisbeschluss.Die Rechtsansicht des LG Lübeck sei zutreffend, da die Webseite „haveibeenpwned.com“ keine verlässliche Grundlage biete. Insbesondere sei die Methode der Datenerhebung unklar.Eine Umkehr der Beweislast oder eine sekundäre Darlegungslast der Beklagten komme ebenfalls nicht in Betracht.Auch ein erhöhtes Spamaufkommen im E-Mail-Postfach sei kein ausreichender Beweis für eine Datenpanne bei X.“Die klägerische Partei hat (…) zur Darlegung ihrer Betroffenheit auf bei Eingabe ihrer E-Mail-Adresse einzusehende Einträge auf der Plattform havibeenpwned.com verwiesen. Dazu erklärt sie, dass selbst das Bundesamt für Informationssicherheit (BSI) auf diese Seite zur Feststellung der Betroffenheit von einem Datenleck verweise. (…)Dies bildet kein hinreichendes Indiz für eine Betroffenheit der klägerischen Partei. Dazu heißt es auf der Seite (…): „„Grundsätzlich ist bei der Nutzung solcher Portale zu beachten, dass für Zugangsdaten häufig die Kombination aus E-Mail-Adresse und Passwort verwendet wird. In den Datenbanken wird allerdings in der Regel nur die E-Mail-Adresse mit dem Datenbestand abgeglichen. Die Rückmeldung, dass die E-Mail-Adresse in dem Datenbestand enthalten ist, kann sich also auf jeden Account beziehen, bei dem diese E-Mail-Adresse zum Zugang genutzt wird, eine direkte Zuordnung ist nicht möglich.“.Wenn dies aber so ist, ist die Verlässlichkeit der in Bezug genommenen Plattform hinsichtlich einer Wahrscheinlichkeit der Betroffenheit der klägerischen Partei zu vernachlässigen.Darüber hinaus ist die Würdigung des Landgerichts insoweit überzeugend, wenn es ausführt, dass nicht bekannt sei, auf welcher Grundlage der Betreiber der Internetseite, Troy Hunt, die Betroffenheit individueller Nutzer ermittele. Tatsächlich mögen die Seitenbetreiber auf der Internetseite zwar ausführen, sie hätten sich die Leak-Protokolle besorgt, der Wahrheitsgehalt dieser Aussage ist indes nicht erkennbar.Und hinsichtlich des erhöhten Spam-Aufkommens:“Darüber hinaus ist die Würdigung des Landgerichts überzeugend, dass auch die schriftsätzlichen Angaben der klägerischen Partei, ein erhöhtes Spamaufkommen festgestellt zu haben, zum Nachweis seiner Betroffenheit von dem API-Bug keinesfalls ausreiche. Ab wann genau welche Spam-Mails mehr geworden sein sollen ist zunächst nicht klar. Ein vermehrtes Spamaufkommen allein bildet zudem nicht den Nachweis dafür, dass hierfür ein Datenleck bei Twitter ursächlich sein muss. Die vom Kläger beschriebenen Spam-Nachrichten können mit derselben Wahrscheinlichkeit auch auf die anderen Internetnutzerkonten der klägerischen Partei, die diese bei anderen Anbietern als der Beklagten unterhält, zurückzuführen sein, da die klägerische Partei dort ebenfalls die streitgegenständliche E-Mail-Adresse hinterlegt hat.“ Zurück zu den Artikeln Diese Artikel könnten Sie auch interessieren: 12. August 2024OLG Dresden: Screenshots von haveibeenpwned.com belegen nicht, dass Kläger von Gravatar-Datenleck betroffen und DSGVO-Schadensersatzanspruch hat Artikel lesen 24. Juni 2024LG Freiburg: Doch kein DSGVO-Schadenersatz gegen X (ehemals Twitter) wegen API-Bug, da Infos von haveibeenpwned.com unzureichend Artikel lesen 25. März 2024LG Stuttgart: Kein DSGVO-Schadenersatz gegen X (ehemals Twitter) wegen API-Bug, da Infos von haveibeenpwned.com kein ausreichender Nachweis Artikel lesen Rechts-News durchsuchen OLG Celle: Nach BGH-Vorgabe für Facebook-Scraping 100,- EUR DSGVO-Schadensersatz 20. Januar 2025 Das OLG Celle hält einen DSGVO-Schadensersatz von 100 € für den bloßen Kontrollverlust bei Facebook-Scraping für angemessen, höhere Beträge nur in… ganzen Text lesen OLG Düsseldorf: DSGVO-Auskunftsverlangen nicht durch anderweitige Nutzung der Informationen ausgeschlossen 15. Januar 2025 Ein DSGVO-Auskunftsrecht besteht unabhängig davon, ob die erhaltenen Daten für andere Zwecke, wie z. B. Klagevorbereitungen, genutzt werden sollen. ganzen Text lesen EuGH: Wann Anfragen von Verbrauchern bei Datenschutzbehörden als exzessiv einzustufen sind 14. Januar 2025 Der EuGH hat geklärt, wann Anfragen an Datenschutzbehörden als exzessiv gelten können und welche Maßnahmen Behörden ergreifen dürfen. ganzen Text lesen EuGH: Geschlecht des Kunden für Erwerb eines Bahn-Tickets ist keine notwendige Angabe iSd. DSGVO 13. Januar 2025 Die verpflichtende Angabe der Anrede beim Kauf eines Bahntickets verstößt gegen die DSGVO, da sie für den Vertrag nicht unerlässlich und… ganzen Text lesen Rechts-News durchsuchen Kategorien Datenschutzrecht Glücksspielrecht / Gewinnspielrecht Markenrecht Onlinerecht Presserecht Urheberrecht Wettbewerbsrecht Wirtschaftsrecht Datumsbereich Beginn Ende Rechts-News • Recht der Neuen Medien • Glücksspielrecht / Gewinnspielrecht • Wettbewerbsrecht • Markenrecht • Urheberrecht • Datenschutzrecht • Presserecht • Wirtschaftsrecht • News Suche Anmeldung zum Newsletter Infos per Twitter Infos per RSS Infos per WhatsApp-Service Rechts-News durchsuchen