Was ist haveibeenpwned.com?
haveibeenpwned.com (HIBP) ist eine international etablierte Plattform zur Erkennung von Datenschutzverstößen. Sie wurde vom Sicherheitsforscher Troy Hunt ins Leben gerufen und enthält Millionen von E-Mail-Adressen, Benutzernamen und Passwörtern, die im Rahmen von Datenlecks bei Online-Diensten gestohlen und veröffentlicht wurden.
Über diese Plattform können Sie prüfen, ob Ihre E-Mail-Adresse Teil eines bekannten Datenlecks war. Die Nutzung ist anonym und kostenlos. Sie müssen lediglich Ihre E-Mail-Adresse eingeben und erhalten sofort einen Überblick darüber, ob und wann diese bei einem der bekannten Vorfälle betroffen war.
Wie funktioniert haveibeenpwned?
HIBP sammelt öffentlich gewordene Datenlecks – sogenannte „Breaches“ – und stellt sie strukturiert zur Verfügung. Wenn Ihre E-Mail-Adresse in einem solchen Vorfall auftaucht, bedeutet dies in der Regel, dass diese bei einem Anbieter hinterlegt war, dessen Sicherheitsvorkehrungen kompromittiert wurden.
Die Plattform liefert damit zwar keinen gerichtsfesten Beweis, wohl aber ein verlässliches Indiz dafür, dass personenbezogene Daten unrechtmäßig offengelegt wurden.
Urteil des OLG Dresden: Auszug aus HIBP reicht zur Darlegung aus
Mit Urteil vom 28. Januar 2025 hat das Oberlandesgericht Dresden (Az. 4 U 157/24) erstmals ausdrücklich bestätigt, dass ein Auszug aus haveibeenpwned.com genügen kann, um die eigene Betroffenheit von einem Datenschutzverstoß substantiiert darzulegen.
Leitsatz des Gerichts:
„Auf der ersten Stufe genügt es, wenn der Betroffene sich auf einen Auszug der Seite www.haveibeenpwned.com stützt, sofern der Datenschutzvorfall an sich sowie die Verwendung der zugrunde liegenden Daten bei der Plattformanmeldung unstreitig sind.“
Das bedeutet: Als betroffene Person genügt es, wenn Sie nachweisen, dass Ihre E-Mail-Adresse in einem bekannten Leak enthalten war – zum Beispiel durch einen Screenshot von HIBP. Sie sind dann nicht verpflichtet, weitere technische Details des Vorfalls zu erläutern oder nachzuweisen, wie genau Ihre Daten abhandenkamen.
Vielmehr trifft den Plattformbetreiber die sogenannte sekundäre Darlegungslast: Er muss erklären, warum Sie gerade nicht vom Vorfall betroffen gewesen sein sollen.
Auch E-Mail-Adressen können einen immateriellen Schaden auslösen
Das Urteil verweist auch auf die aktuelle Rechtsprechung des Bundesgerichtshofs (VI ZR 10/24 vom 18.11.2024). Danach kann selbst der Kontrollverlust über eine E-Mail-Adresse bereits einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen – auch dann, wenn (noch) kein konkreter Missbrauch vorliegt.
Im konkreten Fall konnte die Klägerin keinen Schaden mehr geltend machen, weil ihre E-Mail-Adresse bereits in elf früheren Datenlecks enthalten war. Das Gericht stellte daher fest, dass der Kontrollverlust nicht mehr kausal auf den aktuellen Vorfall zurückzuführen sei. Dennoch wurde klargestellt, dass der Nachweis über HIBP grundsätzlich geeignet ist, eine Betroffenheit zu belegen.
Bedeutung für Ihre Datenschutzrechte
Das Urteil stärkt Ihre Rechte als betroffene Person erheblich:
Ein Auszug von haveibeenpwned.com kann ausreichen, um die eigene Betroffenheit von einem Datenleck darzulegen.
Der betroffene Plattformbetreiber muss sodann konkret darlegen, warum Sie nicht betroffen gewesen sein sollen.
Auch die bloße Preisgabe Ihrer E-Mail-Adresse kann zu einem Schadensersatzanspruch führen – sofern Sie den Kontrollverlust nachvollziehbar begründen können.
Für die Geltendmachung eines Schadensersatzanspruchs bleibt allerdings entscheidend, dass der Kontrollverlust kausal auf den jeweiligen Datenschutzverstoß zurückgeht und nicht bereits durch frühere Leaks eingetreten ist.
Fazit: HIBP als Instrument zur Durchsetzung Ihrer DSGVO-Rechte
haveibeenpwned.com entwickelt sich zunehmend zu einem strategisch nutzbaren Instrument, um Datenschutzverstöße nachzuweisen und juristisch verwertbar zu machen. Auch wenn die Plattform keine gerichtsfeste Beweiskraft hat, erkennen deutsche Gerichte die Aussagekraft mittlerweile an – zumindest als Indiz, das zu einer Beweislastverschiebung führen kann.
Wir empfehlen Ihnen daher, regelmäßig zu prüfen, ob Ihre E-Mail-Adresse bei einem Datenleck betroffen war – und im Verdachtsfall rechtlich prüfen zu lassen, ob ein Schadensersatzanspruch nach Art. 82 DSGVO besteht.
Kostenlose Datenschutzprüfung
Unsere Kanzlei unterstützt Sie bei Datenschutzverstößen – mit Expertise im Datenschutzrecht und Softwarerecht.
Jetzt kostenlose Erstberatung vereinbaren
