Ein großer Streitpunkt, den sowohl die nationale, wie auch die internationale Rechtsprechung bewegt, ist die Frage, ob der Kontrollverlust der Daten für sich genommen einen Schaden darstellt, oder ob es darüber hinaus eines Missbrauchs dieser Daten braucht.
Am 4. Oktober 2024 hat der EuGH mit seinem Urteil in der Sache C-200/23 ein weiteres bedeutendes Urteil für Betroffene gefällt, das sich in eine Reihe vorangegangener Entscheidungen einreiht.
Bereits in seinem Urteil C-300/21 vom 4. Mai 2023 hat der EuGH betont, das der Kontrollverlust einen Schaden darstellen kann und hierzu die Erwägungsgründe 75 und 85 der DSGVO referenziert, die jeweils den Verlust der Kontrolle über personenbezogene Daten als möglichen Schaden aufführen. Diese Auslegung bestätigte der EuGH mit seinen Urteilen in den Rechtssachen C‑456/22 vom 14. Dezember 2023 und C-741/21 vom 11. April 2024 in unterschiedlicher Klarheit.
Es liegt in der Natur der Sache, dass diese Auslegungen des EuGH hinterfragt und in die eine wie auch andere Richtung interpretiert wurden, daher ist es aus Betroffenensicht nun erfreulich, dass der EuGH die vorangegangenen Entscheidungen bestätigt und zugleich Zweifel an der gewünschten Richtung zerstreut, indem er betont, dass weitere – über den Kontrollverlust gehende – negative Folgen nicht erforderlich seien, also der Verlust der Kontrolle über ungewollt veröffentlichte Daten für sich genommen bereits einen Schaden darstellt.
Angesichts der bereits ergangenen Rechtsprechung überrascht diese Klarstellung nicht, in dieser Eindeutigkeit ist sie dennoch erfreulich. Das Ergebnis steht zudem auch im Einklang mit der DSGVO, die gerade darauf abzielt, den Menschen die Souveränität über ihre eigenen Daten zu sichern. Die Souveränität besteht aber gerade nicht mehr, wenn Betroffene die Kontrolle über ihre Daten verlieren und ein nicht überschaubarer Kreis Dritter darauf zugreifen kann.