Bereits Anfang des Jahres haben wir über ein Urteil berichtet, in welchem der Schadenersatz nach Art. 82 DS-GVO aufgrund einer fehlgeleiteten Steuererklärung im Mittelpunkt stand. Nun hat das Sächsische Finanzgericht in einer Entscheidung (FG Sachsen, Urt. v. 04.02.2026 – 8 K 793/24) einem Kläger einen Schadenersatzanspruch in Höhe von 1000,00 € aufgrund einer Fehlversendung seiner Steuerklärung zugesprochen. Das Urteil aus Leipzig soll in unserem heutigen Beitrag im Blickpunkt stehen.
Worum geht es in dem Urteil?
Der Kläger hatte seine Einkommenssteuererklärung für das Jahr 2020 beim zuständigen Finanzamt eingereicht. Nach der internen Bearbeitung versandt das Finanzamt Steuererklärung des Klägers samt weiteren Unterlagen (sowie weitere 34 Steuererklärungen) aufgrund eines falsch aufgeklebten Paketscheins an einen anderen Steuerpflichtgen. Die Unterlagen umfassten neben den Stammdaten hierbei allerhand – teilweise sensible – personenbezogene Daten wie bspw. Angaben zu seinen Familienverhältnissen (Lebenspartnerin, Tochter), Angaben zu Einkünften aus nicht selbstständiger Arbeit, einen Rentenbezug, Vorsorgeaufwendungen sowie Krankengeld und Spenden (inklusive politischer Gesinnung). Die Fehlversendung wurde vom unberechtigten Empfänger zeitnah an das Finanzamt zurückgebracht.
Die Datenschutzverletzung wurde daraufhin nach Art. 33 DS-GVO beim Bundesdatenschutzbeauftragten gemeldet. Die Betroffenen (somit u.a. der Kläger) wurden gemäß Art. 34 DS-GVO ebenfalls informiert.
In der Folge stellte der Kläger durch seinen Prozess bevollmächtigten zunächst einen Auskunftsantrag und verlangte anschließend Schadenersatz nach Art. 82 DS-GVO in Höhe von 2.500,00 € aufgrund des Kontrollverlustes über seine personenbezogenen Daten. Die unbefugte Offenlegung seiner personenbezogenen Daten habe zu einem Gefühl der Verletzlichkeit geführt.
Die Beklagte – das Finanzamt – lehnte die Zahlung zunächst ab, da es nach ihrer Ansicht an einem konkreten Schaden fehle, denn die behaupteten psychischen Belastungen des Klägers vermögen keinen immateriellen Schaden zu begründen. Es genüge gerade nicht jede individuell empfundene Unannehmlichkeit aus, um einen Ausgleichsanspruch zu begründen. Es bedarf vielmehr eines spürbaren Nachteils und einer Beeinträchtigung von persönlichkeitsbezogenen Belangen mit gewissem Gewicht.
Der Kläger erhob in der Folge Klage gegen den Freistaat Sachsen unter Angabe eines vorläufigen Streitwertes von 1.000,00 €.
Was hat das Gericht entschieden?
Das Finanzgericht Sachsen sprach in seiner Entscheidung dem Kläger einen Schadenersatzanspruch (nach Art. 82 DS-GVO) in Höhe von 1.000,00 € zu. Über die Voraussetzung des Art. 82 DS-GVO haben wir ebenfalls bereits in unserem Blog berichtet.
Der Verstoß gegen die Datenschutz-Grundverordnung sei nach Auffassung des Gerichtes bereits darin zu sehen, dass die Steuererklärung und mithin die darin enthaltenen personenbezogenen Daten des Klägers an einen unbefugten Dritten gelangt sei. Dies stellt einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DS-GVO dar.
Im Weiteren stellte das Gericht einen Schaden durch den konkreten Kontrollverlust bezüglich der in der Einkommenssteuererklärung enthaltenen personenbezogenen Daten des Klägers fest. Durch den Umstand, dass die Daten offengelegt wurden, besteht insoweit kein rein hypothetisches Risiko, sondern die konkrete Gefahr einer missbräuchlichen Verwendung der Daten durch eine unbefugte Person. Nach der Beweisaufnahme stand fest, dass neben dem Empfänger und dessen Familienangehörigen auch die Paketboten Gewahrsam an den geöffneten Sendungen mit den Steuererklärungen hatten und sich somit jederzeit Kenntnis vom Inhalt der Steuererklärung des Klägers verschaffen konnten.
Was bleibt für die Praxis?
Die Entscheidung zeigt uns, dass bereits vermeintlich kleine Fehler bzw. Versehen datenschutzrechtliche Schadenersatzansprüche auslösen können. Verantwortliche sind daher gut beraten, entsprechende Kontrollmaßnahmen zu etablieren und insbesondere ein Managementsystem zum Umgang mit Datenschutzverletzungen zu initiieren und zu pflegen.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
