Auf der Webseite "https://haveibeenpwned.com" kann man nachprüfen, ob seine persönliche E-Mail-Adresse von Hackern gestohlen wurde. Aber sind die Angaben dieser Seite auch gerichtsfest? Nein, sagt das Landgericht (LG) Lübeck – obwohl auch das Bundesamt für Sicherheit in der Informationstechnik sie zur Überprüfung auf Datenverluste empfiehlt.

Viele Menschen verklagen derzeit vor allem große Social-Media-Plattformen. Sie werfen ihnen Verletzungen der Datenschutzgrundverordnung vor. Oft müssen dann Gerichte entscheiden, ob überhaupt ein Datenklau stattgefunden hat. Denn nicht in jedem Fall ist das ganz klar.

Zum Beweis für den Datenverlust könne man sich nicht auf die Seite haveibeenpwned.com berufen, hat das LG Lübeck entschieden. Denn das Gericht könne in keiner Weise überprüfen, wie die Webseite zu ihren Ergebnissen kommt.

"Es ist nicht bekannt, auf welcher Grundlage der Betreiber der Internetseite https:///haveibeenpwned.com die Betroffenheit individueller Nutzer ermittelt", so das Gericht wörtlich. Mit dem, was auf der Internetseite als Ergebnis ausgeworfen ist, sei damit lediglich dargetan, was der Betreiber behauptet. Damit sei aber gerade nicht der Nachweis geführt, dass die Klägerseite tatsächlich von dem streitgegenständlichen API-Bug betroffen ist. Es dürfte auch nicht Sinn und Zweck dieser Internetseite sein, einen gerichtsfesten Beweis für die Betroffenheit des jeweiligen Nutzers, der seine E-Mail-Adresse dort eingibt, zu erbringen.

Demnach kann man die Seite zwar nutzen, um für sich selbst herauszufinden, ob Daten noch sicher sind. Um einen Gerichtsprozess zu führen, braucht man aber weitere Beweismittel.

Landgericht Lübeck, Urteil vom 28.03.2024, 15 O 214/23, nicht rechtskräftig