MIR-Newsletter

Der MIR-Newsletter informiert Sie regelmäßig über neue Inhalte in MEDIEN INTERNET und RECHT!

Schließen Abonnieren
MIR-Logo mobil

Logo MEDIEN INTERNET und RECHT
Logo MEDIEN INTERNET und RECHT

Rechtsprechung // Datenschutzrecht



OLG Schleswig, Hinweisbeschluss vom 16.10.2024 - 5 U 56/24

Verlässlichkeit von haveibeenpwned.com zu vernachlässigen - Zur Darlegungs- und Beweislast hinsichtlich der Betroffenheit im Zusammenhang mit einem sogenannten Scraping-Vorfall bei Twitter

DSGVO Art. 15, Art. 82 Abs. 1

Leitsätze:*

1. Für das Vorliegen der Voraussetzungen des Anspruchs auf Ersatz eines immateriellen Schadens gemäß Art. 82 DSGVO, hier insbesondere der anspruchsbegründenden Tatsache der Betroffenheit, ist die anspruchstellende Partei nach allgemeinen Regeln darlegungs- und beweisbelastet.

2. Zur Darlegung und dem Nachweis darüber, von einem datenschutzrechtlich relevanten API-Bug (hier: ein sogenannten Scraping-Vorfall bei Twitter) betroffen zu sein, genügt nicht ohne Weiteres der Verweis auf Einträge auf der Plattform http://havibeenpwned.com, die bei Eingabe der persönlichen E-Mail-Adresse einzusehen sind. Die Verlässlichkeit dieser Plattform hinsichtlich einer Wahrscheinlichkeit der Betroffenheit einer anspruchstellenden Person ist zu vernachlässigen (wird hier zu dem konkret bewerteten Fall ausgeführt). Es kommt dann weder eine Umkehr der Beweislast, noch die Annahme einer sekundären Darlegungslast in Betracht.

3. Art. 82 Abs. 1 DSGVO erfasst auch den Verzugsschaden wegen verzögerter Auskunftserteilung nach Art. 15 DSGVO. Ein Schadenersatzanspruch setzt insoweit das Vorliegen bzw. die Darlegung eines konkreten, auf die fehlenden Informationen zurückzuführenden, Schadens voraus.

MIR 2025, Dok. 002


Anm. der Redaktion: Die Entscheidung des Oberlandesgerichts ist zeitlich vor der Leitentscheidung des BGH vom 18.11.2024 (VI ZR 10/24, MIR 2024, Dok. 098) zum Facebook-Scraping-Vorfall ergangen. Hier hatte der BGH u.a. entschieden, dass auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO sein kann. Weder müsse eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

Die Frage der Betroffenheit selbst stellte sich bei dem dortigen Kläger aber - soweit ersichtlich - nicht oder war nicht strittig.

Überdies geht das hiesige Gericht davon aus, dass die Beklagte vorliegend auch einer etwaigen sekundären Darlegungslast genügt hätte: "Denn [die Beklagte] trägt (unter Beweisantritt durch Zeugnis eines Mitarbeiters) vor, sie habe die Betroffenheit der klägerischen Partei gewissenhaft geprüft und verneint. Eine interne Überprüfung durch Twitter habe ergeben, dass der Account der Klagepartei nicht zu den Twitter-Accounts gehört habe, die von dem API-Bug im Jahr 2021 betroffen waren. Twitter habe zudem eine gründliche Untersuchung des von der Klagepartei beschriebenen Vorfalls durchgeführt und dabei festgestellt, dass man mit Hilfe des vorbezeichneten API-Bugs weder die E-Mail-Adresse noch die Telefonnummer oder den Nutzernamen eines Nutzers direkt aus den Systemen von Twitter erhalten konnte." Dies reiche angesichts des genannten Vortrags der klägerischen Partei aus, um der Verpflichtung aus § 138 Abs. 1 ZPO gerecht zu werden, so das Gericht.

Die Berufung wurde auf den Hinweisbeschluss des OLG zurückgenommen. (RA Thomas Gramespacher, Bonn)
Download: Entscheidungsvolltext PDF

Bearbeiter: Rechtsanwalt Thomas Ch. Gramespacher
Online seit: 05.01.2025
Kurz-Link zum Artikel: http://miur.de/3436

*Redaktionell. Amtliche Leit- und Orientierungssätze werden in einer "Anm. der Redaktion" benannt.

// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
dejure.org StellenmarktAnzeige