www.haveibeenpwnd.com ist hinreichend verlässlich, um jedenfalls die individuelle Betroffenheit einer Verletzung des Schutzes personenbezogener Daten darzulegen und damit die sekundäre Darlegungslast des Verantwortlichen auszulösen.

OLG Dresden 11.02.2025, 4 U 1283/24 (u.a.). Eine betroffene Person klagt die Betreiberin eines sozialen Netzwerks. Aufgrund eines fehlerhaften API sei es unbefugten Dritten gelungen, auf öffentlich einsehbare Profile zuzugreifen und die entsprechenden Daten abzurufen. Dadurch sei es zu einem Kontrollverlust gekommen, wofür entsprechender Schadenersatz zustehe. Ferner sei das Auskunftsverlangen nicht vollständig erfüllt worden. Zur Untermauerung der Betroffenheit legt die betroffene Person einen Auszug der Website „Have I Been Pwned“ vor. Die Plattformbetreiberin bezweifelt die Aussagekraft dieses Auszugs. Zudem sieht sie den Auskunftsanspruch als erfüllt an, weil sämtliche verfügbaren Informationen bereitgestellt worden seien.

Sekundäre Darlegungslast bei Data Breach.

Ist ein personenbezogenes Datum bei www.haveibeenpwnd.com gelistet, genügt die betroffene Person ihrer Darlegungslast, von einem Data Breach betroffen zu sein. Der Verantwortliche hat dann substantiiert und einzelfallbezogen darzulegen, weshalb gerade die jeweilige betroffene Person davon nicht betroffen sein soll.

Umfang der sekundären Darlegungslast.

Der Verantwortliche genügt seiner sekundären Darlegungslast, dass eine betroffene Person nicht von einem Datenschutzvorfall betroffen ist, wenn dieser darlegt, was eigene Untersuchung ergeben haben und wieso diese die Annahme rechtfertigen, dass die Daten der jeweiligen betroffenen Person nicht betroffen sind; hierüber ist ggf Beweis zu erheben.