Nachweis der Betroffenheit eines Nutzerkontos von einer offenen API-Schnittstelle bei Twitter
LG Stuttgart v. 24.1.2024 - 27 O 92/23
Der Sachverhalt:
Die Beklagte betreibt die Echtzeitkommunikationsplattform Twitter, zwischenzeitlich in "X" umbenannt. Im Sommer 2021 bestand beim Twitter-Dienst eine offene API-Schnittstelle. Hierbei handelt es sich um eine Schnittstelle zum Austausch von Informationen zwischen zwei unabhängigen Softwarekomponenten. Diese offene Schnittstelle ermöglichte es Hackern, durch das Probieren zufällig gewählter E-Mail-Adressen und Mobiltelefonnummern im Falle eines "Treffers" - d.h. einer real existenten und bei Twitter hinterlegten E-Mail-Adresse oder Telefonnummer - aus den Systemen von Twitter die für den Nutzer vergebene Twitter-ID zu erhalten.
Dieser sog. API-Bug ermöglichte es Hackern, die Twitter-Accounts der betroffenen Nutzer aufzufinden. Ob die offene Schnittstelle es darüber hinaus ermöglichte, bei Twitter hinterlegte, vom jeweiligen Nutzer aber nicht auf seinem Account öffentlich gemachte Daten wie Klarname und Geburtsdatum aus den Systemen von Twitter zu erlangen, blieb streitig. Öffentlich bekannt wurde der API-Bug, nachdem im Sommer 2022 hieraus erlangte Daten im Internet angeboten worden waren.
Die Klägerin behauptete, ihr Twitter-Account sei von dem API-Bug betroffen gewesen. Der API-Bug habe den unbekannten Hackern auch ermöglicht, den von der Klägerin bei ihrer Registrierung bei Twitter angegebenen Klarnamen sowie ihr Geburtsdatum aus den Systemen von Twitter zu erhalten. Dieses Datenleck habe zur Folge gehabt, dass die Klägerin sowohl per E-Mail als auch per SMS in erheblichem Umfang Spam-Nachrichten sowie ferner unseriösen Telefonanrufen ausgesetzt sei. Bei der Klägerin habe dies zu einem Unwohlsein geführt, zumal sie den lebenslangen Kontrollverlust ihrer Daten befürchten müsse und ferner zu befürchten sei, dass ihre Daten durch Dritte missbräuchlich verwendet werden könnten.
Die Klägerin forderte von der Beklagten u.a. Schadensersatz i.H.v. insgesamt 5.000 €. Das LG hat die Klage vollumfänglich abgewiesen.
Die Gründe:
Der von der Klägerin geltend gemachte Schadensersatzanspruch gem. Art. 82 DSGVO setzt zunächst voraus, dass eine Verletzung des Schutzes personenbezogener Daten der Klägerin vorgelegen hat. Dies erfordert, dass der Twitter-Account der Klägerin von dem API-Bug betroffen gewesen ist, wobei ihre Betroffenheit von der Klägerin zur vollen Überzeugung des Gerichts nachzuweisen ist (§ 286 ZPO). Diesen Nachweis hat die Klägerin allerdings nicht geführt.
Der Beweisantritt der Klägerin bestand darin, dass die von dem australischen Sicherheitsforscher Tony Hunt betriebene Internetplattform https:///haveibeenpwned.com unter Eingabe der E-Mail-Adresse der Klägerin ihre Betroffenheit ausweise. Hieraus ergab sich aber nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend sind und die Klägerin von dem API-Bug tatsächlich betroffen ist. Es ist nicht bekannt, auf welcher Grundlage der Betreiber der Internetseite https:///haveibeenpwned.com Tony Hunt (oder Troy Hunt) die Betroffenheit individueller Nutzer ermittelt. Allein der Hinweis der Klägerin, dass auch das Bundesamt für Sicherheit in der Informationstechnik in einer Pressemitteilung auf die Internetseite https:///haveibeenpwned.com verwiesen hatte, genügte nicht für den Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com richtig sind.
Soweit die Klägerin immateriellen Schadenersatz wegen verzögerter Auskunftserteilung verlangt hatte, war ein solcher Anspruch schon nicht schlüssig vorgetragen. Selbst wenn zugunsten der Klägerin unterstellt werden konnte, dass ihr gegen die Beklagte ein Auskunftsanspruch aus Art. 15 DSGVO zugestanden hatte, die Beklagte mit der Auskunftserteilung in Verzug geraten ist und die Vorschrift des Art. 82 Abs. 1 DSGVO auch den Verzugsschaden wegen verzögerter Auskunftserteilung erfasste, war jedenfalls ein Schaden der Klägerin, der gerade auf die unterbliebene Auskunftserteilung zurückging, nicht dargelegt. Die Klägerin begründete ihren immateriellen Schaden allein mit der Lästigkeit des erhöhten Spamaufkommens sowie der Sorge um die Sicherheit ihrer Daten. Das reichte nicht aus.
Soweit die Klägerin die Feststellung des Anspruchs auf Ersatz künftiger materieller Schäden dem Grunde nach begehrt hatte, war die Klage unzulässig. Denn bei primären Vermögensschäden muss der Betroffene zur Begründung des Feststellungsinteresses darlegen, dass ein auf die Verletzungshandlung zurückzuführender Schaden wahrscheinlich ist. Zur Wahrscheinlichkeit eines materiellen Schadens hatte die Klägerin aber nicht substantiiert vorgetragen. Ihr Vorbringen zum Schaden erschöpfte sich in der Darlegung eines immateriellen Schadens. Nachdem die Betroffenheit der Klägerin von dem streitgegenständlichen API-Bug gerade nicht nachgewiesen wurde, käme die Feststellung eines Schadensersatzanspruchs im Übrigen auch in der Sache nicht in Betracht.
Mehr zum Thema:
Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht (DSGVO/BDSG). Jetzt mit Top-Inhalten zum Datenschutzrecht aus dem C.F. Müller Verlag. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
Beratermodul Zeitschriften Wirtschaftsrecht:
Jetzt neu: Führende Zeitschriften zum Wirtschaftsrecht, Aktienrecht, Gesellschaftsrecht und Versicherungsrecht stehen hier zur Online-Recherche bereit. Inklusive Selbststudium nach § 15 FAO bei ausgewählten Zeitschriften (GmbHR, ZIP, VersR). Wann immer es zeitlich passt: Für Fachanwälte bietet das Beratermodul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!
Landesrechtsprechung Baden-Württemberg
Die Beklagte betreibt die Echtzeitkommunikationsplattform Twitter, zwischenzeitlich in "X" umbenannt. Im Sommer 2021 bestand beim Twitter-Dienst eine offene API-Schnittstelle. Hierbei handelt es sich um eine Schnittstelle zum Austausch von Informationen zwischen zwei unabhängigen Softwarekomponenten. Diese offene Schnittstelle ermöglichte es Hackern, durch das Probieren zufällig gewählter E-Mail-Adressen und Mobiltelefonnummern im Falle eines "Treffers" - d.h. einer real existenten und bei Twitter hinterlegten E-Mail-Adresse oder Telefonnummer - aus den Systemen von Twitter die für den Nutzer vergebene Twitter-ID zu erhalten.
Dieser sog. API-Bug ermöglichte es Hackern, die Twitter-Accounts der betroffenen Nutzer aufzufinden. Ob die offene Schnittstelle es darüber hinaus ermöglichte, bei Twitter hinterlegte, vom jeweiligen Nutzer aber nicht auf seinem Account öffentlich gemachte Daten wie Klarname und Geburtsdatum aus den Systemen von Twitter zu erlangen, blieb streitig. Öffentlich bekannt wurde der API-Bug, nachdem im Sommer 2022 hieraus erlangte Daten im Internet angeboten worden waren.
Die Klägerin behauptete, ihr Twitter-Account sei von dem API-Bug betroffen gewesen. Der API-Bug habe den unbekannten Hackern auch ermöglicht, den von der Klägerin bei ihrer Registrierung bei Twitter angegebenen Klarnamen sowie ihr Geburtsdatum aus den Systemen von Twitter zu erhalten. Dieses Datenleck habe zur Folge gehabt, dass die Klägerin sowohl per E-Mail als auch per SMS in erheblichem Umfang Spam-Nachrichten sowie ferner unseriösen Telefonanrufen ausgesetzt sei. Bei der Klägerin habe dies zu einem Unwohlsein geführt, zumal sie den lebenslangen Kontrollverlust ihrer Daten befürchten müsse und ferner zu befürchten sei, dass ihre Daten durch Dritte missbräuchlich verwendet werden könnten.
Die Klägerin forderte von der Beklagten u.a. Schadensersatz i.H.v. insgesamt 5.000 €. Das LG hat die Klage vollumfänglich abgewiesen.
Die Gründe:
Der von der Klägerin geltend gemachte Schadensersatzanspruch gem. Art. 82 DSGVO setzt zunächst voraus, dass eine Verletzung des Schutzes personenbezogener Daten der Klägerin vorgelegen hat. Dies erfordert, dass der Twitter-Account der Klägerin von dem API-Bug betroffen gewesen ist, wobei ihre Betroffenheit von der Klägerin zur vollen Überzeugung des Gerichts nachzuweisen ist (§ 286 ZPO). Diesen Nachweis hat die Klägerin allerdings nicht geführt.
Der Beweisantritt der Klägerin bestand darin, dass die von dem australischen Sicherheitsforscher Tony Hunt betriebene Internetplattform https:///haveibeenpwned.com unter Eingabe der E-Mail-Adresse der Klägerin ihre Betroffenheit ausweise. Hieraus ergab sich aber nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend sind und die Klägerin von dem API-Bug tatsächlich betroffen ist. Es ist nicht bekannt, auf welcher Grundlage der Betreiber der Internetseite https:///haveibeenpwned.com Tony Hunt (oder Troy Hunt) die Betroffenheit individueller Nutzer ermittelt. Allein der Hinweis der Klägerin, dass auch das Bundesamt für Sicherheit in der Informationstechnik in einer Pressemitteilung auf die Internetseite https:///haveibeenpwned.com verwiesen hatte, genügte nicht für den Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com richtig sind.
Soweit die Klägerin immateriellen Schadenersatz wegen verzögerter Auskunftserteilung verlangt hatte, war ein solcher Anspruch schon nicht schlüssig vorgetragen. Selbst wenn zugunsten der Klägerin unterstellt werden konnte, dass ihr gegen die Beklagte ein Auskunftsanspruch aus Art. 15 DSGVO zugestanden hatte, die Beklagte mit der Auskunftserteilung in Verzug geraten ist und die Vorschrift des Art. 82 Abs. 1 DSGVO auch den Verzugsschaden wegen verzögerter Auskunftserteilung erfasste, war jedenfalls ein Schaden der Klägerin, der gerade auf die unterbliebene Auskunftserteilung zurückging, nicht dargelegt. Die Klägerin begründete ihren immateriellen Schaden allein mit der Lästigkeit des erhöhten Spamaufkommens sowie der Sorge um die Sicherheit ihrer Daten. Das reichte nicht aus.
Soweit die Klägerin die Feststellung des Anspruchs auf Ersatz künftiger materieller Schäden dem Grunde nach begehrt hatte, war die Klage unzulässig. Denn bei primären Vermögensschäden muss der Betroffene zur Begründung des Feststellungsinteresses darlegen, dass ein auf die Verletzungshandlung zurückzuführender Schaden wahrscheinlich ist. Zur Wahrscheinlichkeit eines materiellen Schadens hatte die Klägerin aber nicht substantiiert vorgetragen. Ihr Vorbringen zum Schaden erschöpfte sich in der Darlegung eines immateriellen Schadens. Nachdem die Betroffenheit der Klägerin von dem streitgegenständlichen API-Bug gerade nicht nachgewiesen wurde, käme die Feststellung eines Schadensersatzanspruchs im Übrigen auch in der Sache nicht in Betracht.
Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht (DSGVO/BDSG). Jetzt mit Top-Inhalten zum Datenschutzrecht aus dem C.F. Müller Verlag. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
Beratermodul Zeitschriften Wirtschaftsrecht:
Jetzt neu: Führende Zeitschriften zum Wirtschaftsrecht, Aktienrecht, Gesellschaftsrecht und Versicherungsrecht stehen hier zur Online-Recherche bereit. Inklusive Selbststudium nach § 15 FAO bei ausgewählten Zeitschriften (GmbHR, ZIP, VersR). Wann immer es zeitlich passt: Für Fachanwälte bietet das Beratermodul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!