Er sagt ganz klar, dass bereits der faktische Kontrollverlust über personenbezogene Daten ausreicht, um einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) zu begründen.
Diese Rechtsfrage hatte zwar der Europäische Gerichtshof (EuGH) zuvor schon so entschieden. Dennoch haben einige deutsche Gerichte hiervon abweichende Entscheidungen getroffen und darüber hinaus gefordert, die Betroffenen müssten objektiv nachweisen, unter Ängsten wegen eines möglichen Datenmissbrauchs zu leiden.
und woah:
Außerdem stellte der BGH fest: Die mögliche Haftung Facebooks würde nicht nur für bereits eingetretene Schäden gelten, sondern auch für potenzielle Schäden, die erst in der Zukunft auftreten könnten: etwa der tatsächliche Missbrauch von im Darknet gelandeten Daten für Phishing oder andere kriminelle Aktivitäten. Auch Unterlassungsansprüche erkennt der BGH teilweise an.“
Das wird nun also geltendes Recht plus kommende Haftung für Softwarefehler.
Ich denke, sicheres Design und sichere Algorithmen werden in Zukunft stark gefragt werden.
Denn wenn ein Anbieter in Zukunft Deine Daten verbummelt oder Wittmann-Doors in seinen APIs hat, also ungesicherte API-Endpunkte die PII leaken, dann ist das in Zukunft Schadensersatzpflichtig.