Für IT-verständige Menschen ist es ein naheliegender Gedanke, zum Nachweis der Betroffenheit eines Datenlecks auf einschlägige Webseiten zu verweisen – und genau darum ging es beim OLG Dresden (4 U 1090/24): Im Zentrum des Falls stand die Frage, ob eine Abfrage auf der Website „Have I Been Pwned“ (HIBP) ausreicht, um den Nachweis eines Datenschutzverstoßes zu führen.
Der Kläger, der sich auf ein Datenleck berief, konnte nach Ansicht des Gerichts nicht substantiiert belegen, dass seine Daten tatsächlich betroffen waren und dass er dadurch einen Schaden erlitten hatte. Diese Entscheidung hat weitreichende Folgen für Datenschutzprozesse und die Anforderungen an den Nachweis eines Schadens.
Sachverhalt und Prozessverlauf
Der Kläger machte Schadensersatz-, Unterlassungs- und Auskunftsansprüche gegen die Betreiberin einer Online-Plattform geltend. Er behauptete, dass seine bei der Beklagten hinterlegte E-Mail-Adresse von einem Datenleck betroffen gewesen sei. Als Beweis legte er einen Ausdruck der Website „Have I Been Pwned“ vor, die bestätigte, dass seine E-Mail-Adresse in einer Liste kompromittierter Konten auftauche.
Die Beklagte bestritt jedoch, dass der Kläger überhaupt ein Nutzerkonto auf ihrer Plattform unterhalte. Sie wies darauf hin, dass mit der vom Kläger angegebenen E-Mail-Adresse keine Verbindung zu einem Nutzerkonto festgestellt werden konnte. Das Landgericht Leipzig hatte die Klage bereits in erster Instanz abgewiesen, da der Kläger nicht ausreichend dargelegt habe, dass er tatsächlich von einem Datenschutzverstoß betroffen sei. Der Kläger legte daraufhin Berufung beim OLG Dresden ein, das nun ebenfalls seine Ansprüche zurückwies.
Rechtliche Analyse der Entscheidung
1. Beweislast in Datenschutzverfahren
Ein zentraler Punkt der Entscheidung ist die Beweislast. Nach allgemeinem Zivilprozessrecht trägt derjenige, der einen Anspruch geltend macht, die Darlegungs- und Beweislast für die anspruchsbegründenden Tatsachen. Das OLG Dresden berief sich hierbei auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH, Urt. v. 14.12.2023 – C-340/21; EuGH, Urt. v. 21.12.2023 – C-667/21), die bestätigt, dass der Kläger beweisen muss, dass ein Datenschutzverstoß tatsächlich vorliegt und dass seine personenbezogenen Daten davon betroffen sind.
Das Gericht stellte klar, dass ein bloßer Ausdruck der HIBP-Website keinen hinreichenden Beweis für die Betroffenheit von einem Datenleck darstellt. Vielmehr hätte der Kläger konkret darlegen müssen, dass er zu dem fraglichen Zeitpunkt ein Nutzerkonto unterhalten hat und dass genau dieses Konto von dem Sicherheitsvorfall betroffen war.
2. Kein automatischer Beweis durch HIBP
Die Website „Have I Been Pwned“ ist ein populäres Tool zur Überprüfung, ob eine E-Mail-Adresse oder andere personenbezogene Daten in einem bekannten Datenleck aufgetaucht sind. Das OLG Dresden stellte jedoch fest, dass eine solche Abfrage für sich genommen nicht beweiskräftig ist. Der Grund: HIBP zeigt lediglich an, dass eine E-Mail-Adresse in einer durchgesickerten Datenbank enthalten ist, gibt jedoch keine Informationen darüber, ob der Betroffene tatsächlich von einem spezifischen Datenschutzverstoß der beklagten Plattform betroffen war.
Das Gericht wies zudem darauf hin, dass dieselbe E-Mail-Adresse in mehreren verschiedenen Datenlecks auftauchen kann. Im vorliegenden Fall listete HIBP 18 verschiedene Vorfälle aus den Jahren 2013 bis 2024 auf, darunter bekannte Plattformen wie Adobe, Nexus Mods, Bitcoin Talk und Deezer. Damit war nicht hinreichend nachgewiesen, dass die behauptete Datenschutzverletzung durch die Beklagte verursacht wurde.
3. Anforderungen an den Schadensnachweis nach der DSGVO
Neben dem Nachweis der Betroffenheit eines Datenschutzverstoßes fehlte es dem Kläger auch an der Darlegung eines konkreten immateriellen Schadens im Sinne von Art. 82 DSGVO. Der Europäische Gerichtshof hat in seiner jüngsten Rechtsprechung klargestellt, dass ein immaterieller Schaden nicht bloß vermutet, sondern substantiiert dargelegt werden muss.
Das OLG Dresden befand, dass der Kläger keinen konkreten Kontrollverlust über seine Daten nachweisen konnte. Insbesondere konnte er nicht belegen, dass er vor dem Datenleck tatsächlich die Kontrolle über seine E-Mail-Adresse innehatte und dass er diese erst durch das Datenleck verloren habe. Ein bloßes Unwohlsein oder eine abstrakte Besorgnis reichen nach Ansicht des Gerichts nicht aus, um einen Anspruch auf Schadensersatz zu begründen.
Folgen für zukünftige Datenschutzklagen?
Die Entscheidung des OLG Dresden gibt Orientierungshilfe für die Beweisführung in Datenschutzklagen. Insbesondere für Nutzer, die sich zur Geltendmachung von Schadensersatz auf Datenlecks berufen, ergeben sich daraus einige wichtige Implikationen:
- Erhöhte Anforderungen an den Nachweis der Betroffenheit: Kläger müssen darlegen, dass sie tatsächlich ein Nutzerkonto bei der beklagten Plattform hatten und dass ihre spezifischen Daten von dem Datenschutzverstoß betroffen sind.
- HIBP allein reicht nicht aus: Die bloße Listung einer E-Mail-Adresse auf einer Website wie „Have I Been Pwned“ stellt keinen hinreichenden Beweis dar.
- Substantielle Darlegung eines Schadens erforderlich: Ein rein hypothetischer oder emotionaler Schaden genügt nicht für einen DSGVO-Schadensersatzanspruch.
Für Unternehmen bedeutet dieses Urteil eine gewisse Erleichterung, da sie nicht automatisch für Datenlecks haftbar gemacht werden können, die sich nicht eindeutig ihrem Einflussbereich zuordnen lassen. Gleichzeitig zeigt die Entscheidung, dass Datenschutzklagen mit hohen Hürden verbunden sind, wenn es um die Darlegung der Betroffenheit und des Schadens geht.
Ausblick
Das OLG Dresden hat mit seinem Beschluss eine praxisnahe und stringent begründete Entscheidung getroffen, die weitreichende Folgen für Datenschutzklagen hat. Kläger müssen sich darauf einstellen, dass sie ihre Ansprüche sehr detailliert belegen müssen.
Der bloße Verweis auf eine Abfrage bei „Have I Been Pwned“ reicht nicht aus, um den Nachweis eines Datenschutzverstoßes zu erbringen. Die Entscheidung stärkt die Position von Unternehmen gegen pauschale Datenschutzklagen und verdeutlicht, dass Schadensersatzansprüche nur dann bestehen, wenn konkrete Beweise für einen Kontrollverlust und einen tatsächlichen Schaden vorliegen.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
