Scraping-Vorfälle bei Twitter – OLG Schleswig und BGH im Vergleich

Was sind die Scraping-Vorfälle bei Twitter?
Die Scraping-Vorfälle bei Twitter beziehen sich auf mehrere bekannt gewordene Fälle, in denen durch Ausnutzung von Schwachstellen in der Programmierschnittstelle (API) von Twitter personenbezogene Daten von Nutzern unerlaubt gesammelt wurden.
Definition von Scraping
- Scraping bezeichnet die automatisierte Erfassung von Daten aus Webseiten oder Datenbanken, oft durch Bots oder spezialisierte Software.
- Im Zusammenhang mit Twitter erfolgt Scraping häufig über die API (Application Programming Interface), die Entwicklern normalerweise einen geregelten Zugriff auf bestimmte Twitter-Daten erlaubt.
Relevante Vorfälle
a. API-Bug 2021
- Hintergrund: 2021 wurde ein API-Fehler entdeckt, der es Angreifern ermöglichte, die E-Mail-Adressen und Telefonnummern von Twitter-Nutzern mit deren öffentlichen Profilen zu verknüpfen.
- Auswirkung: Angreifer konnten durch diesen Bug Datenbanken mit Millionen von Datensätzen erstellen, die sensible Informationen wie Kontaktdaten enthielten.
- Twitter-Reaktion: Twitter schloss die Sicherheitslücke und gab an, dass eine Untersuchung durchgeführt wurde, die bestätigte, dass die Schwachstelle ausgenutzt worden war.
b. Datenleak 2022
- Hintergrund: Im Jahr 2022 tauchten auf Hackerforen Datenbanken auf, die Daten von über 5 Millionen Twitter-Nutzern enthielten. Diese stammten mutmaßlich aus dem API-Bug von 2021.
- Art der Daten: Die Datenbank umfasste E-Mail-Adressen, Telefonnummern und Benutzernamen, die mit öffentlich zugänglichen Informationen verknüpft waren.
- Besonderheit: Twitter bestätigte später, dass es sich um Daten handelt, die durch den zuvor geschlossenen API-Bug erlangt worden waren.
c. Weitere Scraping-Vorfälle
- In der Vergangenheit wurden Scraping-Vorfälle auch durch andere Sicherheitslücken oder durch das Ausnutzen von Twitters öffentlichen Datenstrukturen gemeldet.
- Beispielsweise wurden öffentlich zugängliche Tweets oder Nutzerprofile systematisch gesammelt und analysiert.
Zum Hinweisbeschluß des OLG Schleswig vom 16.10.2024 – 5 U 56/24 im Vergleich zur Leitentscheidung des BGH vom 18.11.2024 – VI ZR 10/24
Der Vergleich der Entscheidungen des OLG Schleswig (16.10.2024 – 5 U 56/24) und des BGH (18.11.2024 – VI ZR 10/24) zeigt deutliche Unterschiede in der Gewichtung der Anforderungen an die Darlegungs- und Beweislast im Kontext datenschutzrechtlicher Ansprüche nach der DSGVO, insbesondere im Hinblick auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO.
1. Zentrale Unterschiede in den Entscheidungen
a. Betroffenheit und Nachweispflichten
-
OLG Schleswig:
- Die anspruchstellende Partei trägt nach allgemeinen Regeln die Darlegungs- und Beweislast für die Tatsache der Betroffenheit.
- Ein Verweis auf Einträge auf Plattformen wie haveibeenpwned.com genügt nicht, um eine Betroffenheit nachzuweisen. Diese Plattform wird als nicht hinreichend verlässlich eingestuft.
- Weder eine Umkehr der Beweislast noch eine sekundäre Darlegungslast der Beklagten wurde bejaht.
- Die Beklagte konnte durch substantiierte Darlegung und Beweisantritt ihre Position stützen.
-
BGH:
- Der BGH stärkt die Position der betroffenen Person und stellt klar, dass bereits der bloße und kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann.
- Es bedarf keiner nachweisbaren missbräuchlichen Verwendung der Daten oder anderer negativer Folgen.
- Der Fokus liegt auf dem Kontrollverlust, sodass die Anforderungen an die Darlegung der Betroffenheit tendenziell geringer ausfallen könnten, sofern der Verlust der Kontrolle plausibel gemacht wird.
b. Immaterieller Schaden nach Art. 82 Abs. 1 DSGVO
-
OLG Schleswig:
- Ein immaterieller Schaden setzt konkrete Darlegung eines Schadens voraus, der unmittelbar auf die fehlende oder verspätete Auskunftserteilung (Art. 15 DSGVO) zurückzuführen ist.
- Eine rein theoretische Möglichkeit der Betroffenheit genügt nicht.
-
BGH:
- Der immaterielle Schaden umfasst auch den kurzzeitigen Kontrollverlust ohne spezifische nachteilige Folgen.
- Dies erweitert den Schadensbegriff und senkt faktisch die Hürden für den Anspruch auf Schadensersatz.
2. Einschätzung der Argumentation
a. OLG Schleswig: Strenge Anforderungen an Nachweis und Beweislast
- Das OLG betont den Grundsatz der strengen Darlegungs- und Beweislast. Die Beweislastumkehr oder sekundäre Darlegungslast der Beklagten wird zurückgewiesen, sofern diese substantiierte und nachvollziehbare Prüfungen darlegt.
- Diese Auslegung bewahrt den Grundsatz der Parteirollen im Zivilprozess (§ 138 Abs. 1 ZPO) und schützt Unternehmen vor leichtfertigen oder spekulativen Klagen.
b. BGH: Schutz der Betroffenen durch Erweiterung des Schadensbegriffs
- Die Entscheidung des BGH geht weiter, indem sie den Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO weit auslegt.
- Dies kann als Reaktion auf die zunehmende Bedeutung des Schutzes personenbezogener Daten und die Risiken durch technische Sicherheitslücken gesehen werden.
- Allerdings wird die Frage der Betroffenheit im konkreten Fall nicht thematisiert, sodass der Nachweis über die tatsächliche Betroffenheit möglicherweise offener gehandhabt wird.
3. Bewertung der praktischen Auswirkungen
Für Unternehmen:
- Die Entscheidung des OLG Schleswig bietet mehr Rechtssicherheit, da die Anforderungen an die Darlegung eines Schadens und die Beweisführung für die Betroffenheit hoch angesetzt werden.
- Die BGH-Entscheidung erhöht hingegen die Unsicherheiten, da allein der Kontrollverlust ohne konkrete nachteilige Folgen als Schaden anerkannt wird. Dies könnte die Klagefrequenz erhöhen.
Für Betroffene:
- Der BGH stärkt die Rechte der betroffenen Personen, indem er den Schutz vor Kontrollverlust in den Mittelpunkt stellt.
- Die Anforderungen des OLG Schleswig könnten jedoch Hürden für Betroffene schaffen, insbesondere wenn sie auf externe Plattformen wie haveibeenpwned.com angewiesen sind, um die Betroffenheit zu belegen.
Die Entscheidung des OLG Schleswig zeigt eine restriktive und prozessrechtlich orientierte Herangehensweise, während der BGH eine weitreichendere Auslegung des Schadensbegriffs und der Schutzrechte von Betroffenen verfolgt. Beide Entscheidungen ergänzen sich, verdeutlichen jedoch eine Verschiebung des Schwerpunkts in der Rechtsprechung zugunsten eines stärkeren Datenschutzes, wie vom BGH vertreten. Die Entscheidung des OLG Schleswig könnte zukünftig an Bedeutung verlieren, da der BGH mit seiner Leitentscheidung einen weiter gefassten Schadensbegriff etabliert hat.