Nutzer bekommt 100 Euro DSGVO-Schadensersatz

Das Landgericht (LG) Freiburg hat X (früher Twitter) zur Zahlung von 100€ Schadensersatz an einen Kläger verurteilt, der von einem API-Bug betroffen war (LG Freiburg, Urt. v. 08.02.2024, Az: 8 O 212/23).

Der Kläger hatte nebst Schadensersatz auch Unterlassung und ein Ordnungsgeld von bis zu 250.000 Euro bei Zuwiderhandlung verlangt – dieser Anspruch wurde ihm jedoch verwehrt. Nach Ansicht des Gerichts war das Begehren des Unterlassungsanspruchs zu unbestimmt und damit bereits unzulässig. Für einen Schadensersatzanspruch hingegen genüge bereits die Sorge, dass mit den Daten des Klägers Unrat getrieben wird – unabhängig davon, ob das bereits passiert ist.

API-Bug: Auf „Privat“ gestellte Daten einsehbar

API steht für Application Programming Interfaces – zu Deutsch: Programmierschnittstellen. Sie werden genutzt, um verschiedene, voneinander unabhängige Anwendungen miteinander zu verknüpfen. Im vorliegenden Fall gab es eine Sicherheitslücke in einem X-API: Hacker, die bereits in Besitz der Mailadresse oder Telefonnummer eines X-Users waren, konnten durch die Sicherheitslücke auch den Nutzernamen des Users herausfinden. So konnten auch die Profile von Usern, die diese in den Privatsphäre-Einstellungen explizit auf privat gestellt hatten, ausfindig gemacht werden. Außerdem konnten auch durch randomisiertes „Ausprobieren“ von verschiedenen Handynummern und E-Mailadressen private X-Profile gefunden werden.

Durch das Abrufen der Profile konnten auch andere Daten, die eigentlich aufgrund der Privatsphäre-Einstellungen nicht hätten einsehbar sein sollen, gezogen werden: Wenn im Profil angegeben, konnten die Hacker den Namen, Accountnamen, Verifizierungsstatus, Wohnort, Follower, Favoritenliste, Profilbild und Geburtstag von X-Usern, die gerade das durch die Privatsphäre-Einstellungen explizit verhindern wollten.

Die abgegriffenen Daten wurden im Juni 2022 in einer bekannten Hacker-Plattform zum Download angeboten. Daraufhin wurde bekannt, dass unbefugte Dritte die API-Lücke vielfach genutzt hatten, um private Profile aufzurufen. X zufolge wurde die Lücke nach Bekanntwerden sofort geschlossen.

LG Freiburg spricht Betroffenem 100 Euro Schadensersatz zu

Der Kläger verlangte nun von X Unterlassung und bei Zuwiderhandlung ein Ordnungsgeld von bis zu 250.000€ sowie Schadensersatz. Das LG Freiburg wies zwar den Unterlassungsanspruch ab, doch das Gericht sprach dem Betroffenen 100 Euro Schadensersatz zu!

Der Betroffene hatte den Schadensersatzanspruch auf ein vermehrtes Aufkommen von Spam-Mails sowie seine persönliche Angst, dass seine Daten missbräuchlich verwendet würden, gestützt. Das vermehrte Aufkommen von Spam-Mails sah das Gericht noch nicht als schadensbegründend an – schließlich erschöpften sich die damit einhergehenden Beeinträchtigungen im Aussortieren der Mails. Sehr wohl liege aber in der Sorge vor einem Missbrauch der Daten ein Schaden. Das Gericht: „Diese Sorge vor einem Missbrauch kann unter den gegebenen Umständen auch als begründet angesehen werden, weil nicht ausgeschlossen werden kann, dass die E-Mail-Adresse des Klägers missbräuchlich verwendet wird (…).“

Die Höhe des Schadens bezifferte das Gericht „unter Berücksichtigung der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadenersatzes“ auf 100€. Dabei sei anspruchserhöhend festzustellen, dass X nnoch mehrere schadensursächliche Verstöße begangen habe. „Anspruchsmindernd ist zu berücksichtigen, dass es sich bei den gescrapten Daten lediglich um die E-Mail-Adresse, nicht jedoch um besonders sensible Informationen wie Gesundheits- oder Kontodaten handelt.”

Was gilt, wenn man von einem Datenleck betroffen ist?

Auf der Grundlage von Art. 15 DSGVO können Nutzer Auskunft von der vom Datenleck betroffenen Plattform verlangen, ob sie vom Datenleck betroffen sind. Erteilt diese sodann keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen im Zusammenhang mit dem jeweiligen Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.

Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse.

Der EuGH hatte hierzu Ende 2023 in einem Urteil Spektakuläres entschieden, das die Rechte von Millionen von Verbrauchern in der EU enorm stärkt. Wurden die eigenen Daten infolge eines Hackerangriffs missbraucht, so stehen die Chancen, dafür immateriellen DSGVO-Schadensersatz zu erhalten, besser denn je. Denn zum einen reicht bereits die Befürchtung eines Datenmissbrauchs aus, um Schadensersatz zu erhalten. Und zum anderen können Unternehmen, deren Systeme gehackt wurden, praktisch kaum noch vortragen, dass sie daran keine Schuld tragen.

---

---