Klage gegen X wegen Datenlücke: Ein Nutzer der Social-Media-Plattform bekam vom Landgericht Freiburg im Februar 2024 Schadensersatz in Höhe von 100 Euro zugesprochen (8 O 212/23). Durch einen Bug in der API konnten Hacker Daten einsehen, die eigentlich auf „privat“ eingestellt waren.
Der Kläger forderte außerdem Unterlassung und ein Ordnungsgeld bei Verstoß in Höhe von 250.000 Euro, blieb damit vor dem LG aber erfolglos.
Auslöser der Klage war ein Fehler in der Programmierschnittstelle von X, die es Hackern ermöglichte, wenn sie Mailadressen oder Telefonnummern von Nutzer:innen kannten, auch deren Profil zu ermitteln, unabhängig davon, ob es auf privat gestellt war oder nicht. Auch durch zufälliges Testen von Telefonnummern oder E-Mailadressen konnten Profile eingesehen werden.
Zudem waren Daten, die User:innen angegeben hatten, sichtbar, auch wenn diese eigentlich in den Privatsphäre-Einstellungen nicht als sichtbar eingestellt waren. Darunter fielen: Namen, Accountname, Verifizierungsstatus, Wohnort, Follower, Favoriten, Profilbild und Geburtstag der betroffenen User:innen.
Auf einer bekannten Hacker-Plattform wurden die erlangten Daten zum Download bereitgestellt. X selbst sorgte für eine Schließung der Lücke unmittelbar nach dem Bekanntwerden.
Der Kläger forderte nun von der Plattform Schadensersatz. Die Begründung: Ein erhöhtes Spamaufkommen in seinem Mailpostfach sowie die Angst vor dem Missbrauch der von den Hackern erlangten Daten. Ersteres sah das Gericht nicht als begründend für den Schaden – immerhin sei das Problem schnell behoben durch Aussortieren der Mails und die Beeinträchtigung sei nicht groß. Anders sehe es dagegen mit der Angst von dem missbräuchlichen Umgang mit den Daten aus. Dies ist ein eindeutiger Grund für immateriellen Schadensersatz.
Das Gericht bezifferte den Schaden auf 100 Euro. Erhöhend wurden weitere schadensursächliche Verstöße seitens X gewertet, als mindernd im Gegenzug dann, dass “lediglich“ die Mailadresse geleakt wurde und keine empfindlichen Daten wie Zahlungs- oder Gesundheitsdaten.
Dieses Urteil ist ein gutes Beispiel dafür, dass im Datenschutz beim Schadensersatz keine Bagatellgrenze gezogen wird, wenn es um die Höhe des Schadensersatzes geht. Diesen einzufordern ist also in den meisten Fällen (wenn der Schaden nachvollziehbar dargestellt werden kann) erfolgreich.
(Bild: daily_creativity – stock.adobe.com)
