Gestufte Darlegungslast und Kontrollverlust bei Datenschutzvorfällen

Die gerichtliche Durchsetzung von Schadensersatzansprüchen nach Art. 82 DSGVO ist für Betroffene von Datenschutzvorfällen mit erheblichen prozessualen Hürden verbunden. Mit seinem Beschluss hat das Oberlandesgericht (OLG, 4 U 1273/24) Dresden klargestellt, wie sich die gestufte Darlegungslast bei der Betroffenheit eines Nutzers von einem Datenleck auf einer Internetplattform ausgestaltet und welche Anforderungen an den Nachweis eines immateriellen Schadens durch Kontrollverlust zu stellen sind – dabei wird klargestellt, dass haveibeenpwned.com eine Hilfe sein kann, was nicht alle Gerichte so sehen.

Inhalte Anzeigen

Sachverhalt

Die Klägerseite machte gegen die Betreiberin eines Kurznachrichtendienstes Ansprüche auf immateriellen Schadensersatz, Feststellung einer künftigen Ersatzpflicht, Auskunft, Unterlassung und Ersatz vorgerichtlicher Rechtsanwaltskosten geltend. Anlass war ein Datenleck („API-Bug 2021“), bei dem E-Mail-Adressen und andere Nutzerdaten unbefugt abgegriffen werden konnten. Die Klägerseite verwies auf die Trefferanzeige der Plattform www.haveibeenpwned.com als Beleg ihrer Betroffenheit.

Rechtliche Kernfragen und Würdigung

1. Gestufte Darlegungslast bei der Betroffenheit

Das OLG Dresden bekräftigt seine bisherige Rechtsprechung (vgl. 4 U 157/24) und stellt klar, dass für die Betroffenheit von einem Datenschutzvorfall eine gestufte Darlegungslast gilt. Die Entscheidung betont, dass der Nachweis einer Betroffenheit auf Basis der öffentlich zugänglichen Plattform www.haveibeenpwned.com zulässig ist. Diese Plattform gilt als anerkannte Quelle für bekannte Datenlecks. Das OLG Dresden stellt klar, dass ein solcher Nachweis als erste Stufe genügt, um die Betroffenheit schlüssig darzulegen. Der Plattformbetreiber muss dann im Detail erklären, warum im konkreten Fall keine Betroffenheit vorliegt. Ein pauschales Bestreiten ist unzureichend.

Auf erster Stufe genügt es also, wenn der Kläger plausible Anhaltspunkte – hier die Trefferanzeige einer anerkannten Datenleck-Datenbank – vorlegt. Sodann obliegt es dem Plattformbetreiber im Rahmen seiner sekundären Darlegungslast substantiiert darzutun, weshalb keine Betroffenheit vorliegt. Ein pauschales Bestreiten, wie hier seitens der Beklagten, genügt nicht. Diese Klarstellung stärkt im Ergebnis die Durchsetzbarkeit von DSGVO-Ansprüchen, da der Verantwortliche aufgrund seiner Nähe zu den technischen Abläufen regelmäßig über die besseren Informationsmöglichkeiten verfügt.

Beweisführung im Zivilprozess durch Ausdruck von haveibeenpwned.com

2. Kein Schadensersatz bei fehlendem Kontrollverlust

Zugleich lehnt das OLG Dresden den geltend gemachten immateriellen Schadensersatz ab. Ein Schadensersatzanspruch nach Art. 82 DSGVO setzt einen kausalen immateriellen Schaden voraus, der insbesondere bei einem Kontrollverlust über die eigenen Daten vorliegen kann. Ein solcher lag jedoch nicht vor, weil die E-Mail-Adresse der Klägerseite bereits vor dem streitgegenständlichen Vorfall bei einem anderen Anbieter offengelegt worden war. Das erhöhte SPAM-Aufkommen bestand daher unabhängig von dem API-Bug der Beklagten.

Diese restriktive Linie knüpft an die Rechtsprechung des Bundesgerichtshofs (BGH) und des Europäischen Gerichtshofs (EuGH) an, wonach ein bloßer DSGVO-Verstoß nicht automatisch eine Entschädigungspflicht auslöst; erforderlich ist stets eine konkrete, kausale Beeinträchtigung.

3. Kein Feststellungsinteresse bei theoretischem Schadenseintritt

Für den Feststellungsantrag, mit dem die Klägerseite eine künftige Ersatzpflicht geltend machen wollte, fehlte es ebenfalls an einem rechtlich schützenswerten Interesse. Ein Kontrollverlust als Anknüpfungspunkt für eine Schadensentwicklung bestand nicht mehr, da die Daten bereits zuvor öffentlich kompromittiert waren.

Hackerangriff: Bin ich betroffen von einem Cyberangriff?

4. Anforderungen an Unterlassungsanträge

Die Unterlassungsanträge scheiterten an der fehlenden Bestimmtheit. Formulierungen wie „nach dem Stand der Technik mögliche Sicherheitsmaßnahmen“ genügen nicht den Bestimmtheitsanforderungen des § 253 Abs. 2 Nr. 2 ZPO und sind nicht vollstreckbar. Auch der Hilfsantrag, die API-Schnittstelle nur unter bestimmten Bedingungen vorzuhalten, war zu unbestimmt.

5. Auskunftsanspruch und Folgeschäden

Den Auskunftsanspruch nach Art. 15 DSGVO sah das OLG Dresden als erfüllt an. Ein weitergehender Schadensersatzanspruch für die vermeintlich verspätete oder unvollständige Auskunft entfiel mangels eigenständigen Schadens.

Datenschutzklagen und Beweislast: Entscheidung des OLG Dresden zu “Have I Been Pwned” als Beweisquelle
Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Einordnung und Bedeutung für die Praxis

Das OLG Dresden setzt mit seiner Entscheidung einen wichtigen Akzent im Spannungsfeld zwischen effektiver Rechtsdurchsetzung für Betroffene und Schutz vor missbräuchlicher Anspruchsgeltendmachung. Die gestufte Darlegungslast erleichtert Betroffenen den Einstieg in die Beweisführung. Gleichwohl zeigt das Urteil, dass ohne substantiierten Vortrag zu einem tatsächlichen Kontrollverlust oder einem anderen konkreten immateriellen Schaden kein Schadensersatz zugesprochen wird. Die Entscheidung reiht sich in eine Linie restriktiver Rechtsprechung ein, die hohe Anforderungen an die Kausalität und Darlegung konkreter Beeinträchtigungen stellt.

Quintessenz

Der Beschluss des OLG Dresden verdeutlicht, dass Betroffene eines Datenschutzvorfalls zwar bei der Darlegung der Betroffenheit entlastet werden, für einen Schadensersatz aber nach wie vor konkrete und kausale Schäden darzulegen haben. Für Plattformbetreiber bedeutet dies, dass sie substantiiert vortragen müssen, um eine behauptete Betroffenheit zu entkräften, gleichzeitig aber bei der Absicherung ihrer Schnittstellen klare technische Maßnahmen dokumentieren sollten, um Unterlassungsansprüche zu vermeiden.

Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist erfahrener Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht mit über einem Jahrzehnt Berufspraxis und widmet sich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist erfahrener Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht mit über einem Jahrzehnt Berufspraxis und widmet sich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!