LG Stuttgart: Kein Anspruch auf Schadensersatz nach Art. 82 DSGVO wegen „Scraping“ von personenbezogenen Daten, wenn ein Nachweis der Betroffenheit bezogen auf Nutzerkonto in Sozialem Netzwerk über sog. „API-Bug“ nicht gelingt

So das Gericht in seinem Urteil vom 24. Januar 2024, Az.: 27 O 92/23, in einem Rechtsstreit eines Nutzers gegen den Betreiber der Social Media Plattform „X“ um geltend gemachten Ansprüche aus dem Datenschutzrecht. Den unter anderem geltend gemachten Anspruch auf Schadensersatz nach Art. 82 DSGVO wies das Gericht mangels Nachweises der Betroffenheit einer Verletzung der Sicherheit von personenbezogenen Daten ab und begründete dies in den Entscheidungsgründen unter anderem wie folgt:

„…Der von der Klägerin mit dem Klageantrag Ziff. 1 geltend gemachte Schadensersatzanspruch gemäß Art. 82 DSGVO setzt zunächst voraus, dass eine Verletzung des Schutzes personenbezogener Daten der Klägerin vorgelegen hat. Dies erfordert, dass der Twitter-Account der Klägerin von dem API-Bug betroffen gewesen ist, wobei ihre Betroffenheit von der Klägerin zur vollen Überzeugung des Gerichts nachzuweisen ist (§ 286 ZPO). Diesen Nachweis hat die Klägerin nicht geführt.

a) Der Beweisantritt der Klägerin besteht darin, dass die von dem australischen Sicherheitsforscher Tony Hunt betriebene Internetplattform https:///haveibeenpwned.com unter Eingabe der E-Mail-Adresse der Klägerin ihre Betroffenheit ausweise. Dem Beweisangebot der Klägerin, diese Internetseite in Augenschein zu nehmen und die E-Mail-Adresse a[…]@aol.com einzugeben, ist das Gericht nachgegangen, wie in der mündlichen Verhandlung erörtert worden ist. Es trifft demnach zu, dass die Internetseite https:///haveibeenpwned.com die Betroffenheit der Klägerin von dem API-Bug bei Twitter ausweist, was die Beklagte auch nicht ausdrücklich bestritten hat. Hieraus ergibt sich aber nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend sind und die Klägerin von dem API-Bug tatsächlich betroffen ist.

Es ist nicht bekannt, auf welcher Grundlage der Betreiber der Internetseite https:///haveibeenpwned.com Tony Hunt (oder Troy Hunt) die Betroffenheit individueller Nutzer ermittelt. Allein der Hinweis der Klägerin in ihrem nachgelassenen Schriftsatz vom 20.12.2023, dass auch das Bundesamt für Sicherheit in der Informationstechnik in einer Pressemitteilung auf die Internetseite https:///haveibeenpwned.com verwiesen hat, genügt nicht für den Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com richtig sind. Die von der Klägerin in ihrem nachgelassenen Schriftsatz in Bezug genommene Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik stammt vom 17.01.2019 und hat mit dem streitgegenständlichen API-Bug bei Twitter nichts zu tun. Soweit das Bundesamt für Sicherheit in der Informationstechnik in der Pressemitteilung ausgeführt hat, „Angaben des IT-Sicherheitsforschers Troy Hunt zufolge, der den Datensatz aufgefunden hat, können Internetnutzer über die Plattform https:///haveibeenpwned.com prüfen, ob ihre E-Mail-Adressen und Zugangsdaten in dem aktuellen Datenfund enthalten sind“, ergibt sich daraus auch nicht die Auffassung des Bundesamts für Sicherheit in der Informationstechnik nicht, dass die Angaben der in Bezug genommenen Internetseite über jeden Zweifel erhaben wären. Überdies bezieht sich diese Pressemitteilung gerade auf einen Datensatz, welcher von dem IT-Sicherheitsforscher Troy Hunt selbst im Internet aufgefunden worden sein soll. Hieraus ergibt sich ein Anhaltspunkt, weshalb Troy Hunt als Betreiber der Internetseite https:///haveibeenpwned.com den Inhalt des im Internet veröffentlichten Datensatzes kennt. Woher Troy Hunt hingegen verlässliche Kenntnis davon haben soll, welche Twitter-Accounts von dem API-Bug betroffen sind, wird von der Klägerin nicht erläutert und bleibt damit offen.

Ergänzend ist noch anzumerken, dass sich die Behauptung der Klägerin, im Rahmen des API-Bug hätten auch Daten über ihr Geschlecht und ihr Geburtsdatum erlangt werden können, aus der von der Klägerin selbst in Bezug genommen und für verlässlich angesehenen Internetseite https:///haveibeenpwned.com gerade nicht ergibt. Diese vom Gericht eingesehene Website nennt weder das Geschlecht noch das Geburtsdatum als von dem API-Bug bei Twitter betroffene Daten.

b) Auch die Angaben der Klägerin im Rahmen ihrer Parteianhörung, ab Anfang des Jahres 2022 ein erhöhtes Spamaufkommen festgestellt zu haben, genügt zum Nachweis ihrer Betroffenheit von dem API-Bug nicht. Abgesehen davon, dass das Datenleck bei Twitter nach dem Vortrag der Klägerin schon im Juni 2021 und nicht erst Anfang 2022 bestanden haben soll, begründet allein ein vermehrtes Spamaufkommen nicht den Nachweis, hierfür müsse ein Datenleck bei Twitter ursächlich sein. Namentlich die von der Klägerin beschriebenen Spam-Nachrichten, durch welche eine Mitteilung eines angeblichen Paketdienstleisters wie beispielsweise DHL fingiert wird, treten auch bei dem erkennenden Einzelrichter sowie dessen Familienmitgliedern auf, obwohl niemand einen Twitter-Account unterhält…“