haveibeenpwned im Zivilprozess: Die Webseite haveibeenpwned.com ist ein herausragendes Werkzeug, wenn man die Flüchtigkeit seiner Daten im Blick haben möchte. Es gibt inzwischen erste Entscheidungen zur Aussagekraft von entsprechenden Ausdrucken.
„haveibeenpwned“
Die Website „Have I Been Pwned“ ist ein Online-Dienst, mit dem Nutzer überprüfen können, ob ihre persönlichen Daten durch bekannt gewordene Datenlecks kompromittiert wurden. Nutzer können ihre E-Mail-Adressen (und in einigen Fällen auch Telefonnummern) eingeben, um zu überprüfen, ob sie in Datenbanken gehackter Websites oder Dienste enthalten sind. Die Website bietet auch Informationen darüber, welche Daten möglicherweise offengelegt wurden und durch welches Datenleck dies geschehen ist.
Darüber hinaus bietet „Have I Been Pwned“ die Möglichkeit, Benachrichtigungen zu abonnieren, so dass Nutzer sofort informiert werden, wenn ihre Daten in zukünftigen Datenlecks gefunden werden. Dieser Dienst, von mir hier schon vorgestellt, ist ein nützliches Instrument für die digitale Sicherheit und trägt dazu bei, das Bewusstsein für Datenschutzverletzungen und Cybersicherheit zu schärfen.
Inaugenscheinnahme der Webseite „haveibeenpwned“
Das Amtsgericht Strausberg (25 C 95/21) konnte sich hier am Rande zur Verwendung einer Inaugenscheinnahme von dort äußern. Es ging um eine Klage auf Schadensersatz nach einem Dataleak – der auf Schadensersatz klagende Kläger wollte die Verwendung seiner personenbezogenen Daten durch den Verweis auf „haveibeenpwned“ belegen – scheiterte jedoch:
Dass nicht öffentlich zugängliche Informationen, nämlich das Geburtsdatum, die E-Mail-Adresse, der Arbeitgeber, geographische Standorte und der Beziehungsstatus des Klägers vom klägerischen …Profil von Dritten erhoben worden sind, kann nicht festgestellt werden.
Für seine dahingehende Behauptung tritt der Kläger schon keinen tauglichen Beweis an. Die Inaugenscheinnahme der von ihm angegebenen Webseite https://haveibeenpwned.com ist als Beweismittel ungeeignet, da dort die durch das Scraping abgerufenen Daten lediglich abstrakt beschrieben werden; welche konkreten personenbezogenen Daten des Klägers – neben den immer öffentlich zugänglichen Informationen – erhoben worden sind, wird dort nicht angegeben.
Amtsgericht Strausberg, 25 C 95/21
Das mag für einen Laien ärgerlich sein, ist aber nicht sonderlich überraschend: Zu der Tatsache, dass ein konkretes Datum überhaupt von einem Dataleak betroffen ist, wird dieser Weg geeignet sein. Hinsichtlich einer konkreten Verwendung aber ist es ein schlicht ungeeignetes Beweismittel.
Es bleibt spannend, wie man Informationen der Webseite „haveibeenpwned“ einerseits korrekt in einen Zivilprozess einführt – aber auch, welche Relevanz diese Informationen überhaupt haben. In einem Strafprozess jedenfalls bietet diese Webseite deutlich mehr Potenzial als Zivilprozessual.
Stimmigkeit der Angaben unter haveibeenpwned
Das Landgericht Stuttgart (27 O 92/23) hat sodann weiter klargestellt, dass allein die behauptete Auskunft zivilprozessual keine zwingenden Schlüsse zulässt.
Das Beweisangebot der Klägerin bestand hier darin, dass die Internetplattform haveibeenpwned.com bei Eingabe der E-Mail-Adresse der Klägerin deren Betroffenheit auswies. Dem Beweisangebot der Klägerin, diese Internetseite aufzurufen und die betroffene E-Mail-Adresse einzugeben, ist das Gericht sogar nachgekommen! Nach den Feststellungen des Gerichts war es also richtig, dass unter haveibeenpwned.com die Betroffenheit der Klägerin durch einen API-Bug bei einem Social-Media-Dienst dargestellt wurde.
Allein daraus ergab sich aus Sicht des Landgerichts jedoch nicht der zivilprozessuale Vollbeweis, dass die Angaben auf der Internetseite haveibeenpwned.com zutreffend sind und die Klägerin tatsächlich, also ganz konkret, von dem API-Bug betroffen ist:
Es ist nicht bekannt, auf welcher Grundlage der Betreiber der Internetseite https:///haveibeenpwned.com Tony Hunt (oder Troy Hunt) die Betroffenheit individueller Nutzer ermittelt. Allein der Hinweis der Klägerin in ihrem nachgelassenen Schriftsatz vom 20.12.2023, dass auch das Bundesamt für Sicherheit in der Informationstechnik in einer Pressemitteilung auf die Internetseite https:///haveibeenpwned.com verwiesen hat, genügt nicht für den Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com richtig sind.
Die von der Klägerin in ihrem nachgelassenen Schriftsatz in Bezug genommene Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik stammt vom 17.01.2019 und hat mit dem streitgegenständlichen API-Bug bei Twitter nichts zu tun. Soweit das Bundesamt für Sicherheit in der Informationstechnik in der Pressemitteilung ausgeführt hat, „Angaben des IT-Sicherheitsforschers Troy Hunt zufolge, der den Datensatz aufgefunden hat, können Internetnutzer über die Plattform https:///haveibeenpwned.com prüfen, ob ihre E-Mail-Adressen und Zugangsdaten in dem aktuellen Datenfund enthalten sind“, ergibt sich daraus auch nicht die Auffassung des Bundesamts für Sicherheit in der Informationstechnik nicht, dass die Angaben der in Bezug genommenen Internetseite über jeden Zweifel erhaben wären.
Überdies bezieht sich diese Pressemitteilung gerade auf einen Datensatz, welcher von dem IT-Sicherheitsforscher Troy Hunt selbst im Internet aufgefunden worden sein soll. Hieraus ergibt sich ein Anhaltspunkt, weshalb Troy Hunt als Betreiber der Internetseite https:///haveibeenpwned.com den Inhalt des im Internet veröffentlichten Datensatzes kennt. Woher Troy Hunt hingegen verlässliche Kenntnis davon haben soll, welche Twitter-Accounts von dem API-Bug betroffen sind, wird von der Klägerin nicht erläutert und bleibt damit offen.
Landgericht Stuttgart, 27 O 92/23
Würdigung einer Listung bei haveibeenpwned
Dass die Auskunft auch anders interpretiert werden kann, zeigt ein anderes Verfahren: Auch hier wollte jemand seine Betroffenheit mit einer Auskunft von haveibeenpwned belegen. Das Unternehmen argumentierte dann aber, dass bereits aufgrund der vorgelegten Abfrage über die Internetseite von haveibeenpwned feststehe, dass die E-Mail-Adresse völlig unabhängig von den Cyberangriffen für jedermann im Internet veröffentlicht worden sei. (so LG Mannheim, 9 O 344/21; im Anschluss OLG Karlsruhe, 19 U 23/23, ohne sich ausdrücklich damit auseinanderzusetzen).
Eine geltend gemachte Furcht vor Straftaten stellt damit argumentativ ein allgemeines Lebensrisiko dar, dessen Streubreite durch einen solchen Hinweis auf haveibeenpwned nur vergrößert wird.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024