Zum Inhalt springen
GFV Gesellschaft für Verbraucherschutz

Twitter Datenleck: Was muss ich wissen?

Im Dezember 2022 wurde öffentlich, dass ein Datensatz mit Informationen zu mindestens 5,4 Millionen Twitter-Nutzern in einem Hackerforum zum Verkauf stand. Die irische Datenschutzbehörde (Data Protection Commission, DPC) leitete daraufhin am 23. Dezember 2022 eine förmliche Untersuchung gegen Twitter International Unlimited Company ein. Für Betroffene in Deutschland eröffnen sich nach Artikel 82 Abs. 1 DSGVO in Verbindung mit der BGH-Leitentscheidung VI ZR 10/24 vom 18. November 2024 Ansprüche auf Schadensersatz.

Was ist beim Twitter Datenleck passiert?

Die Täter nutzten nach Angaben der irischen Datenschutzbehörde eine Schwachstelle in der damaligen Twitter-API aus: Über die Schnittstelle konnten sie prüfen, welchem Twitter-Account eine bestimmte E-Mail-Adresse oder Telefonnummer zugeordnet war — und den Account dann mit der jeweiligen Kontaktinformation verknüpfen. Diese Schwachstelle wurde zwischen Juni 2021 und Januar 2022 ausgenutzt. Die dadurch gewonnenen Datensätze wurden im Dezember 2022 in einem Hackerforum öffentlich zum Verkauf angeboten.

Die irische Datenschutzbehörde teilte am 23. Dezember 2022 offiziell mit, eine Untersuchung eingeleitet zu haben. Twitter (heute: X Corp.) ist mit europäischem Hauptsitz in Irland datenschutzrechtlich dort ansässig, weshalb die DPC als federführende Aufsichtsbehörde im Sinne des Art. 56 DSGVO zuständig ist.

Welche Daten sind betroffen?

Die veröffentlichten Datensätze enthalten nach bisherigen Analysen pro Nutzer typischerweise:

  • Twitter-Handle (@Benutzername) und öffentlicher Profilname
  • Twitter-Nutzer-ID
  • E-Mail-Adresse und/oder Telefonnummer — auch wenn diese nicht öffentlich sichtbar waren
  • Account-Erstellungsdatum, Follower-Zahl und weitere Metadaten des öffentlichen Profils

Die brisante Eigenschaft des Datensatzes besteht darin, dass er eine direkte Verknüpfung zwischen einem pseudonymen Twitter-Account und der privaten E-Mail- oder Telefonnummer ermöglicht — dadurch lassen sich auch Personen de-anonymisieren, die unter einem Pseudonym aufgetreten sind.

Welche Rechte haben Betroffene?

Zentrale Anspruchsgrundlage ist Artikel 82 Abs. 1 DSGVO:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter."

Verantwortlicher im Sinne der DSGVO ist Twitter International Unlimited Company (bzw. die jeweilige aktuelle Rechtsnachfolgerin). Der Verstoß ergibt sich aus der unzureichenden Absicherung der betroffenen API-Schnittstelle gegen missbräuchliches Auslesen (Art. 32 DSGVO) sowie der unzureichenden Information der Betroffenen nach Art. 34 DSGVO.

Die BGH-Rechtsprechung zum Kontrollverlust

Mit der Leitentscheidung VI ZR 10/24 vom 18. November 2024 hat der Bundesgerichtshof klargestellt, dass der bloße Kontrollverlust über die eigenen Daten als immaterieller Schaden nach Art. 82 DSGVO ersatzfähig ist — und zwar auch dann, wenn kein konkreter Missbrauch nachgewiesen werden kann. Der Senat hat eine Größenordnung von 100 Euro je Betroffenem für den bloßen Kontrollverlust als rechtlich unbedenklich bezeichnet.

Diese Rechtsprechung ist unmittelbar auf den Twitter-Vorfall übertragbar: Auch hier geht es um personenbezogene Daten, die infolge eines Verstoßes gegen die DSGVO unkontrolliert in die Hände Dritter gelangt sind.

Bin ich betroffen?

Betroffen sind grundsätzlich alle Twitter-Nutzer, die zwischen Juni 2021 und Januar 2022 ein Konto besaßen und eine E-Mail-Adresse oder Telefonnummer hinterlegt hatten. Eine erste Prüfung ist über die unabhängige Plattform Have I Been Pwned möglich, die den Datensatz nach eigener Angabe indexiert hat. Für einen offiziellen Nachweis empfiehlt sich zusätzlich ein Auskunftsersuchen nach Art. 15 DSGVO an X Corp.

Wie geht es weiter?

Ansprüche verjähren nach § 195 BGB innerhalb von drei Jahren ab Kenntnis. Betroffene sollten die Fristen daher nicht auf die leichte Schulter nehmen. Die GfV prüft Ihre Ansprüche kostenlos und unverbindlich — inklusive Einordnung nach der aktuellen BGH-Rechtsprechung und Berechnung der Erfolgsaussichten.

→ Jetzt kostenlosen Twitter-Betroffenheitscheck starten

Quellen

  • Irish Data Protection Commission, Pressemitteilung vom 23.12.2022: „Data Protection Commission launches inquiry into Twitter concerning datasets". dataprotection.ie
  • BGH, Urteil vom 18.11.2024 — VI ZR 10/24 (Leitentscheidungsverfahren Scraping, anwendbar auf vergleichbare Datenschutzvorfälle). bundesgerichtshof.de
  • Verordnung (EU) 2016/679 — Datenschutz-Grundverordnung, insbesondere Art. 32, Art. 34, Art. 56 und Art. 82 Abs. 1. eur-lex.europa.eu
  • § 195 BGB — Regelmäßige Verjährungsfrist. gesetze-im-internet.de

Haben Sie Fragen?

Kontaktieren Sie uns kostenlos und unverbindlich.

Jetzt kostenlos prüfen