So das Gericht in seinem Urteil vom 24. Mai 2024 (Az.: 8 O 304/23) in einem Rechtsstreit eines Nutzers gegen den Betreiber der Social Media Plattform „X“ um geltend gemachten Ansprüche aus dem Datenschutzrecht. Den unter anderem geltend gemachten Anspruch auf Schadensersatz nach Art. 82 DSGVO wies das Gericht mangels Nachweises der Betroffenheit einer Verletzung der Sicherheit von personenbezogenen Daten ab und begründete dies in den Entscheidungsgründen unter anderem wie folgt:
„…Auch die Angaben des Klägers im Rahmen seiner Parteianhörung, die die Klagepartei in der Replik ausdrücklich beantragt hat, um die Betroffenheit des Klägers darstellen zu können, führt nicht zum Nachweis seiner Betroffenheit vom API-Bug 2021 bei der Beklagten. Der Kläger hat dort erklärt, dass er vom streitgegenständlichen Scraping deshalb erfahren habe und er deshalb Klage erhoben habe, weil er in einer Internetwerbeanzeige seiner Anwaltskanzlei darauf hingewiesen worden sei, dass die Möglichkeit bestehe, Schadensersatz zu erhalten, wenn man von einem Datenleck betroffen sei. Auf der betreffenden Seite sei die Rede z.B. von Telefonaten aus dem Ausland und Spamnachrichten gewesen, die man möglicherweise erhalte und beides sei auch bei ihm der Fall gewesen. Von der Seite https://haveibeenpwned.com/ habe er keine Kenntnis, dort habe er auch selbst keine Daten eingegeben.
Ein Schluss darauf, dass der Kläger vom API-Bug bei der Beklagten im Jahr 2021 betroffen sein müsse, lässt sich hieraus ersichtlich nicht ableiten. Dies folgt, soweit sich die Schilderung des Klägers auf Telefonate aus dem Ausland bezieht, bereits daraus, dass vom Datenscraping bei der Beklagten im Jahr 2021 unstreitig (vgl. Seite 1 der Replik vom 17.4.2024) lediglich die Mailadresse von Twitterkonten betroffen gewesen ist, nicht hingegen auch die Telefonnummer. Bezüglich möglicher Spammails hat der Kläger zwar mitgeteilt, dass er seit einigen Jahren zwischen 10 und 30 Spammails an seine Mailadresse XXXXX. Der Kläger hat aber bereits nicht sagen könne, seit wann genau dies der Fall sei. Vor allem ist zwischen den Parteien unstreitig, dass die vom Kläger genannte Mailadresse XXXX Gegenstand von Datenlecks bei drei weiteren von der Beklagten unabhängigen Unternehmen im Zeitraum zwischen 2013 und 2023 gewesen ist. Aus dem Umstand, dass der Kläger nach seiner Darstellung Spammails im behaupteten Umfang erhalten habe, lässt sich daher kein zuverlässiger Schluss auf die Betroffenheit dieser Mailadresse gerade vom API-Bug bei der Beklagten im Jahr 2021 ziehen. Dies gilt umso mehr, als der Kläger bei seiner persönlichen Anhörung zuletzt selbst nicht mehr sicher gewesen ist, welche Mailadresse er bei Twitter hinterlegt und welchen Nutzernamen er mit dieser Mailadresse verknüpft habe…“