Wir lehnen uns sicherlich nicht zu weit aus dem Fenster, wenn wir die Behauptung aufstellen, dass Art. 82 DS-GVO – Haftung und Recht auf Schadenersatz – zu den meist diskutiertesten Normen in der Datenschutz-Grundverordnung gehört. Wir haben uns in der Vergangenheit ebenfalls bereits mehrfach mit den Fragen rund um den datenschutzrechtlichen Schadenersatz befasst, beispielsweise im Rahmen der Frage zum Schadenersatz wegen verspäteter Auskunftserteilung. Grundlegende Beiträge zum Schadenersatzanspruch lassen sich zudem hier, hier und hier finden.
In unserem heutigen Beitrag soll es nunmehr um eine Entscheidung des Amtsgericht Wesel (Urt. v. 23.7.2025, 30 C 138/21) gehen, in welcher das Gericht über einen Schadenersatzanspruch nach Art. 82 DS-GVO eines Ehepaares gegenüber der (ehemaligen) Steuerkanzlei aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung infolge einer Fehlversendung zu entscheiden hatte.
Worum geht es in dem Urteil?
Die Kläger – das Ehepaar – waren über mehrere Jahre Mandanten der beklagten Steuerberaterkanzlei. Im August 2019 hatten sie der beklagten Steuerkanzlei per E-Mail mitgeteilt, dass sich ihre bisherige Anschrift geändert hätte. Die Kläger wiesen in der Folge vorsichtshalber noch mehrfach auf die neue Adresse hin. Im Juli 2020 beauftragten die Kläger die Kanzlei mit der Erstellung der Einkommenssteuererklärung für das Jahr 2019. Bei der Erstellung der Erklärung wurden automatisch die Kontaktdaten der vorherigen Erklärung eingelesen, die jedoch noch die ehemalige Adresse der Kläger enthielt. Aus diesem Grund wurde die Erklärung an die ursprüngliche Adresse versendet. Die (unberechtigten) Empfänger haben den Umschlag wegen der Namensähnlichkeit versehentlich geöffnet und ebenso vom Inhalt Kenntnis genommen.
Was hat das Gericht entschieden?
Das Gericht stellt zunächst fest, dass die Steuerkanzlei als Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO gegen den Grundsatz der Richtigkeit aus Art. 5 Abs. 1 lit. d) DS-GVO („Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein […]“) verstoßen habe, indem diese die ehemalige (und veraltete) Adresse der Kläger nicht vollumfänglich aus dem Datenbestand gelöscht hatte. Als unerheblich wurde vom Gericht angesehen, dass die veraltete Adresse durch das Programm bei der Erstellung der Erklärung automatisch eingefügt worden war. Dies gilt bereits deswegen, weil die Kanzlei dafür Sorge zu tragen hat, dass die veraltete Adresse überhaupt nicht mehr im System hinterlegt ist.
Im Rahmen der Betrachtung von Art. 82 Abs. 1 DS-GVO stellt der Verstoß gegen den Grundsatz der Richtigkeit der Datenverarbeitung zugleich eine unrechtmäßige Datenerarbeitung dar, die geeignet ist, die Schadensersatzpflicht zu begründen. Noch einmal zum besseren Verständnis der Inhalt von Art. 82 Abs. 1 DS-GVO:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Den Klägern ist infolge des Verstoßes der verantwortlichen Steuerkanzlei auch ein Schaden entstanden. Das Gericht nimmt hierzu zunächst Bezug auf die geltende Rechtsprechung des Europäischen Gerichtshof und des Bundesgerichtshof: „Sowohl der Gerichtshof als auch der BGH haben klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert […]. Einen derartigen Kontrollverlust haben die Kläger bereits mit der Versendung der Unterlagen an ihre ehemalige Adresse und dem dortigen Zugang erlitten.“
Der Kontrollverlust des Ehepaares über Ihre personenbezogenen Daten ist demnach durch die irrtümliche Versendung der Einkommenssteuererklärung eingetreten, denn so wurde dem Ehepaar die Kontrolle darüber entzogen, welchem Personenkreis die sie betreffenden personenbezogenen Daten zugänglich waren. Bemerkenswert ist zudem, dass das Gericht feststellt, dass der Kontrollverlust bereits durch die Fehlversendung eingetreten sei, auf das tatsächliche Öffnen des Briefes kommt es insoweit nicht an, denn die Daten waren bereits dem Verfügungskreis der Kläger entzogen.
Die Kläger hätten sich zudem wegen der Weitergabe der sensibelsten und persönlichsten Daten, insbesondere Gesundheitsdaten, exponiert, stigmatisiert und bloßgestellt gefühlt, zumal sie als Bewohner einer ländlichen Gegend, in der es „viel Gerede“ gebe, sehr auf Diskretion bedacht seien.
Das Amtsgericht Wesel spricht nach alledem den Klägern einen Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu.
Was bleibt für die Praxis?
Leicht verwundert lässt einen der Sachverhalt dennoch zurück. Insbesondere der Umstand, dass an der ehemaligen Adresse tatsächlich namensgleiche Personen wohnten lädt zumindest dazu ein, darüber nachzudenken, ob nicht zwischen den Klägern und den „unberechtigten“ Empfängern vielleicht ein Verwandtschaftsverhältnis besteht. Andernfalls wäre es schon ein reichlich großer Zufall…
Im Ergebnis wurde den Klägern gemeinsam ein Schadenersatzanspruch gemäß Art. 82 Abs. 1 DS-GVO in Höhe von 1.000 € zugesprochen. Die Betonung muss hier auf „gemeinsam“ liegen. Dies bedeutet eben auch, dass jedem Ehepartner jeweils nur 500 € zugesprochen wurde. Hinzu tritt, dass der Umfang des zugesprochenen Schadens erheblich unterhalb der von den Klägern angegebenen Größenordnung (insgesamt 15.000 €, je also 7.500 €) liegt.
Das Gericht führt hierzu aus: „Zu beachten war, dass die betroffenen Daten naturgemäß sensibel sind. Aus einer Steuererklärung sind eine Vielzahl von Daten ersichtlich, die Rückschlusse auf verschiedene Lebensbereiche der betroffenen Person ermöglichen und die üblicherweise Außenstehenden verborgen bleiben. Auch gibt es für die Kläger keine vergleichbare Möglichkeit wie etwa im Falle der ungewollten Veröffentlichung einer Telefonnummer oder E-Mail-Adresse, die gewechselt werden kann. Begrenzt wird der Anspruch jedoch durch den Umstand, dass über den reinen Kontrollverlust hinaus keine weiteren negativen Folgen erkennbar sind und die Daten an einen begrenzten Empfängerkreis, anders als etwa bei einem unzureichenden Schutz von Daten im Netz, gelangt sind.“
Was bleibt also? Schadenersatzanspruch ja, aber bitte im Rahmen. Verantwortliche (Steuer-)Kanzleien sind dennoch gut beraten bei der täglichen Arbeit die tragenden Grundsätze des Datenschutzrechtes zu berücksichtigen. Nur weil eine verantwortliche Stelle einer berufsrechtlichen Verschwiegenheit unterliegt, ist dies nicht gleichbedeutend mit einer Nichtanwendbarkeit des Datenschutzrechtes.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
