Der Hinweisbeschluss des Oberlandesgerichts Dresden vom 18. Juni 2024 (Az. 4 U 156/24) bietet Anlass, sich intensiver mit dem Beweiswert von Auskünften bei „haveibeenpwned.com“ [HIBP] und anderen „Leak-Checkern“ im Zivilprozess zu befassen. In der Rechtsprechung hat sich eine klare Linie zu diesem Beweisthema etabliert.
Die rechtliche Ausgangslage
Unternehmen, die personenbezogene Daten verarbeiten, sind gemäß Art. 32 DSGVO verpflichtet, angemessene Sicherheitsmaßnahmen zu ergreifen, um Datenverluste zu verhindern. Werden diese Maßnahmen nicht ausreichend umgesetzt und kommt es zu einem Datenleck, so sind die betroffenen Personen und die Aufsichtsbehörden nach Art. 33, 34 DSGVO zu informieren. Bei Missachtung dieser Pflichten kann Schadensersatz verlangt werden, so wie häufig bei den „Scraping“- Angriffen der letzten Jahre.
Ein Schadensersatzanspruch kann nur dann erfolgreich durchgesetzt werden, wenn der Kläger sowohl den DSGVO-Verstoß als auch seine individuelle Betroffenheit durch das spezifische Datenleck schlüssig nachweisen kann.
Die Rolle von „Leak-Checkern“ in der gerichtlichen Beweisführung
Der durchschnittliche Nutzer wird in aller Regel keinen Einblick in die internen Prozesse seines Vertragspartners bekommen und auch nicht das Darknet nach seinen abgeflossenen Daten durchsuchen. Hilfestellung bieten deshalb sogenannte „Leak-Checker“ wie dasjenige von HIBP. Gibt der Nutzer seine E-Mail Adresse in das Suchfeld ein, überprüft der Checker ob diese E-Mail in einem gehakten Datensatz enthalten war und welche weiteren Daten abgeflossen sind.
Während ‚Leak-Checker‘ wie HIBP eine erste Indikation über den möglichen Datenverlust liefern, ist dies im juristischen Kontext oft nicht ausreichend (vgl. Data-Scraping bei Twitter („X“) und die Darlegungs- und Beweislast). Ein Gericht benötigt zur Anerkennung eines Schadensersatzanspruchs eine vollständige und schlüssige Beweisführung.
Datenquellen nicht bekannt
Zum einen ermöglichen diese Tools keine nachvollziehbare Verifizierung der Datenquellen. Die Datensatzquellen, auf denen die Website ihre Angaben zur Betroffenheit des Nutzers von einem Datenleck stützt, werden nicht genannt. Auch das FAQ von HIBP geht nicht über floskelhafte Ausführungen hinaus.
Unzureichende Auskünfte
Zum anderen sind die Ergebnisse oft unvollständig und können aufgrund fehlender Kontextinformationen keine zuverlässigen Rückschlüsse auf den Ursprung der Datenlecks zulassen. HIBP prüft nur die in die Suchmaske eingegebene E-Mail Adresse auf eine Übereinstimmung mit bekannten Datensätzen. Welche weiteren Daten des Nutzers im Datensatz enthalten sind, erfährt der Nutzer nicht. HIBP gibt nur eine allgemeine Auskunft darüber ab, welche weiteren Daten in dem Satz noch enthalten sind (IP-Adresse, Geburtsdatum, Passwort etc.). Schließlich lässt sich nicht nachvollziehen, aus welcher Quelle die gewonnen Daten stammen und damit abgeflossen sind.
Kein ausreichender Beweis
Diese Umstände stehen einem Vollbeweis im Zivilprozess – zurecht – entgegen. Weder das Gericht noch ein damit befasster Sachverständiger können hierauf ihre volle Überzeugung stützen. Selbst HIBP nimmt für sich nicht in Anspruch, dass die Auskünfte stets zutreffend sind, weil sie zugunsten einer zügigen Information ihrer Nutzer („making data searchable early“) ihre Quellen bloß für gewöhnlich („usually“) überprüfen.
Unüberwindbare Hürde?
Der Beschluss des OLG Dresden, der sich der bisherigen Linie der Gerichte anschließt, verdeutlicht die Schwierigkeiten, die Kläger in solchen Verfahren haben. Ohne Zugang zu den geleakten Datensätzen bleibt es für Kläger eine erhebliche Herausforderung, den notwendigen Vollbeweis zu erbringen. Detaillierte und konkretisierte Beweismittel sind daher unerlässlich.
Interessanterweise haben sich die Kläger in den veröffentlichten Entscheidungen mehrheitlich auf die Auskunft von HIBP gestützt. Mehr Informationen enthält beispielsweise der „EIDI-Leak-Checker“ der Universität Bonn, der auch den jeweiligen Dateinamen wiedergibt, in denen die überprüfte E-Mail Adresse gefunden worden ist. Erweiterte Auskunft erhält der Nutzer auch zu kompromittierten Passwörtern, weil zur Identifizierung jeweils das erste und letzte verwendete Zeichen wiedergegeben werden.
Auch das OLG Dresden hat in seinem Beschluss eine Bemerkung gemacht, der bisher zu wenig Aufmerksamkeit gewidmet wurde:
„Ob eine positive Meldung […] ausreicht, kann hier offenbleiben, jedenfalls lässt die Vorlage des screenshots der Seite „haveIbeenpwnd.com“, keinerlei Rückschlüsse darauf zu, wo und wann ein Datenleck aufgetreten ist. Der Kläger ist schließlich bei zahlreichen anderen sozialen Medien – wie facebook, instagram, tiktok, twitter und pinterest – registriert.“ (OLG Dresden, 4. Zivilsenat, Beschluss vom 18. Juni 2024, Az.: 4 U 156/24)
Daraus lässt sich der Rückschluss ziehen, dass eine einmalig – zur Eröffnung des Kontos im sozialen Netzwerk – verwendete E-Mail Adresse, die im Darknet veröffentlich ist, tatsächlich auch von dem konkreten Datenabfluss beim Netzwerkbetreiber betroffen sein muss.
Kann der Kläger zur vollen Überzeugung des Gerichts darlegen, dass sein Daten nur im Rahmen eines Datenschutzvorfalls bei dem Beklagten abgeflossen sein können, wäre es denkbar, dass das Gericht diesen Vortrag für ausreichend hielt. Die Gefahr des Unterliegens dürfte gleichwohl höher sein.
OLG Dresden, 4. Zivilsenat, Beschluss vom 18. Juni 2024, Az.: 4 U 156/24
