Ein API-Bug bei X (vormals Twitter) sorgte dafür, dass Hacker Daten von Nutzern abrufen konnten, die diese eigentlich auf „privat“ gestellt hatten. Ein Betroffener hatte deswegen geklagt – und bekam vom LG Freiburg nun 100 Euro Schadensersatz zugesprochen.
X Datenleck: Verliere nicht deine Chance auf Schadensersatz.
Jetzt E-Mail-Adresse eingeben und sofort herausfinden, ob du vom X Datenleck betroffen bist:
In Kooperation mit unserem Partner RightNow
Sie werden zu RightNow weitergeleitet…
Das Landgericht (LG) Freiburg hat X (früher Twitter) zur Zahlung von 100€ Schadensersatz an einen Kläger verurteilt, der von einem API-Bug betroffen war (LG Freiburg, Urt. v. 08.02.2024, Az: 8 O 212/23).
Der Kläger hatte nebst Schadensersatz auch Unterlassung und ein Ordnungsgeld von bis zu 250.000 Euro bei Zuwiderhandlung verlangt – dieser Anspruch wurde ihm jedoch verwehrt. Nach Ansicht des Gerichts war das Begehren des Unterlassungsanspruchs zu unbestimmt und damit bereits unzulässig. Für einen Schadensersatzanspruch hingegen genüge bereits die Sorge, dass mit den Daten des Klägers Unrat getrieben wird – unabhängig davon, ob das bereits passiert ist.
API-Bug: Auf “Privat” gestellte Daten einsehbar
API steht für Application Programming Interfaces – zu Deutsch: Programmierschnittstellen. Sie werden genutzt, um verschiedene, voneinander unabhängige Anwendungen miteinander zu verknüpfen. Im vorliegenden Fall gab es eine Sicherheitslücke in einem X-API: Hacker, die bereits in Besitz der Mailadresse oder Telefonnummer eines X-Users waren, konnten durch die Sicherheitslücke auch den Nutzernamen des Users herausfinden. So konnten auch die Profile von Usern, die diese in den Privatsphäre-Einstellungen explizit auf privat gestellt hatten, ausfindig gemacht werden. Außerdem konnten auch durch randomisiertes „Ausprobieren“ von verschiedenen Handynummern und E-Mailadressen private X-Profile gefunden werden.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Durch das Abrufen der Profile konnten auch andere Daten, die eigentlich aufgrund der Privatsphäre-Einstellungen nicht hätten einsehbar sein sollen, gezogen werden: Wenn im Profil angegeben, konnten die Hacker den Namen, Accountnamen, Verifizierungsstatus, Wohnort, Follower, Favoritenliste, Profilbild und Geburtstag von X-Usern, die gerade das durch die Privatsphäre-Einstellungen explizit verhindern wollten.
Die abgegriffenen Daten wurden im Juni 2022 in einer bekannten Hacker-Plattform zum Download angeboten. Daraufhin wurde bekannt, dass unbefugte Dritte die API-Lücke vielfach genutzt hatten, um private Profile aufzurufen. X zufolge wurde die Lücke nach Bekanntwerden sofort geschlossen.
LG Freiburg spricht Betroffenem 100 Euro Schadensersatz zu
Der Kläger verlangte nun von X Unterlassung und bei Zuwiderhandlung ein Ordnungsgeld von bis zu 250.000€ sowie Schadensersatz. Das LG Freiburg wies zwar den Unterlassungsanspruch ab, doch das Gericht sprach dem Betroffenen 100 Euro Schadensersatz zu!
Der Betroffene hatte den Schadensersatzanspruch auf ein vermehrtes Aufkommen von Spam-Mails sowie seine persönliche Angst, dass seine Daten missbräuchlich verwendet würden, gestützt. Das vermehrte Aufkommen von Spam-Mails sah das Gericht noch nicht als schadensbegründend an – schließlich erschöpften sich die damit einhergehenden Beeinträchtigungen im Aussortieren der Mails. Sehr wohl liege aber in der Sorge vor einem Missbrauch der Daten ein Schaden. Das Gericht: „Diese Sorge vor einem Missbrauch kann unter den gegebenen Umständen auch als begründet angesehen werden, weil nicht ausgeschlossen werden kann, dass die E-Mail-Adresse des Klägers missbräuchlich verwendet wird (…).”
Die Höhe des Schadens bezifferte das Gericht „unter Berücksichtigung der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadenersatzes“ auf 100€. Dabei sei anspruchserhöhend festzustellen, dass X nnoch mehrere schadensursächliche Verstöße begangen habe. „Anspruchsmindernd ist zu berücksichtigen, dass es sich bei den gescrapten Daten lediglich um die E-Mail-Adresse, nicht jedoch um besonders sensible Informationen wie Gesundheits- oder Kontodaten handelt.”
Was gilt, wenn man von einem Datenleck betroffen ist?
Auf der Grundlage von Art. 15 DSGVO können Nutzer Auskunft von der vom Datenleck betroffenen Plattform verlangen, ob sie vom Datenleck betroffen sind. Erteilt diese sodann keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen im Zusammenhang mit dem jeweiligen Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.
Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse.
Der EuGH hatte hierzu Ende 2023 in einem Urteil Spektakuläres entschieden, das die Rechte von Millionen von Verbrauchern in der EU enorm stärkt. Wurden die eigenen Daten infolge eines Hackerangriffs missbraucht, so stehen die Chancen, dafür immateriellen DSGVO-Schadensersatz zu erhalten, besser denn je. Denn zum einen reicht bereits die Befürchtung eines Datenmissbrauchs aus, um Schadensersatz zu erhalten. Und zum anderen können Unternehmen, deren Systeme gehackt wurden, praktisch kaum noch vortragen, dass sie daran keine Schuld tragen.
Prüfen Sie hier, ob Sie vom Facebook- oder Deezer-Datenleck betroffen sind
Facebook-Datenleck – jetzt prüfen
Jetzt Handynummer eingeben und sofort zeigt der Checker Ihnen an, ob Sie betroffen sind:
Hinweis: Wir verwenden deine Mobilfunknummer zur Überprüfung, ob du von dem Facebook-Datenleak betroffen bist. Der Abgleich deiner Mobilfunknummer erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine Mobilfunknummer bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.
Deezer-Datenleck – jetzt prüfen
Einfach Mail-Adresse eingeben und sofort herausfinden, ob Sie einer von 14 Millionen deutschen Betroffenen sind.
Bitte geben Sie Ihre E-Mail-Adresse an.
Hinweis: Wir verwenden deine E-Mail Adresse zur Überprüfung, ob du von dem Deezer-Datenleak betroffen bist. Der Abgleich deiner E-Mail Adresse erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine E-Mail Adresse bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.
Keine Sorge: Direkt nach der Eingabe erscheint das Prüfergebnis nur für Dich. Erst wenn Du danach bewusst weitere Daten eingibst, werden wir auch für Dich tätig und erstreiten den Schadensersatz.