Wir lehnen uns sicherlich nicht zu weit aus dem Fenster, wenn wir die Behauptung aufstellen, dass Art. 82 DS-GVO – Haftung und Recht auf Schadenersatz – zu den meist diskutiertesten Normen in der Datenschutz-Grundverordnung gehört. Wir haben uns in der Vergangenheit ebenfalls bereits mehrfach mit den Fragen rund um den datenschutzrechtlichen Schadenersatz befasst, beispielsweise im Rahmen der Frage zum Schadenersatz wegen verspäteter Auskunftserteilung. Grundlegende Beiträge zum Schadenersatzanspruch lassen sich zudem hier, hier und hier finden.

In unserem heutigen Beitrag soll es nunmehr um eine Entscheidung des Amtsgericht Wesel (Urt. v. 23.7.2025, 30 C 138/21) gehen, in welcher das Gericht über einen Schadenersatzanspruch nach Art. 82 DS-GVO eines Ehepaares gegenüber der (ehemaligen) Steuerkanzlei aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung infolge einer Fehlversendung zu entscheiden hatte.

Worum geht es in dem Urteil?

Die Kläger – das Ehepaar – waren über mehrere Jahre Mandanten der beklagten Steuerberaterkanzlei. Im August 2019 hatten sie der beklagten Steuerkanzlei per E-Mail mitgeteilt, dass sich ihre bisherige Anschrift geändert hätte. Die Kläger wiesen in der Folge vorsichtshalber noch mehrfach auf die neue Adresse hin. Im Juli 2020 beauftragten die Kläger die Kanzlei mit der Erstellung der Einkommenssteuererklärung für das Jahr 2019. Bei der Erstellung der Erklärung wurden automatisch die Kontaktdaten der vorherigen Erklärung eingelesen, die jedoch noch die ehemalige Adresse der Kläger enthielt. Aus diesem Grund wurde die Erklärung an die ursprüngliche Adresse versendet. Die (unberechtigten) Empfänger haben den Umschlag wegen der Namensähnlichkeit versehentlich geöffnet und ebenso vom Inhalt Kenntnis genommen.

Was hat das Gericht entschieden?

Das Gericht stellt zunächst fest, dass die Steuerkanzlei als Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO gegen den Grundsatz der Richtigkeit aus Art. 5 Abs. 1 lit. d) DS-GVO („Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein […]“) verstoßen habe, indem diese die ehemalige (und veraltete) Adresse der Kläger nicht vollumfänglich aus dem Datenbestand gelöscht hatte. Als unerheblich wurde vom Gericht angesehen, dass die veraltete Adresse durch das Programm bei der Erstellung der Erklärung automatisch eingefügt worden war. Dies gilt bereits deswegen, weil die Kanzlei dafür Sorge zu tragen hat, dass die veraltete Adresse überhaupt nicht mehr im System hinterlegt ist.

Im Rahmen der Betrachtung von Art. 82 Abs. 1 DS-GVO stellt der Verstoß gegen den Grundsatz der Richtigkeit der Datenverarbeitung zugleich eine unrechtmäßige Datenerarbeitung dar, die geeignet ist, die Schadensersatzpflicht zu begründen. Noch einmal zum besseren Verständnis der Inhalt von Art. 82 Abs. 1 DS-GVO:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Den Klägern ist infolge des Verstoßes der verantwortlichen Steuerkanzlei auch ein Schaden entstanden. Das Gericht nimmt hierzu zunächst Bezug auf die geltende Rechtsprechung des Europäischen Gerichtshof und des Bundesgerichtshof: „Sowohl der Gerichtshof als auch der BGH haben klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert […]. Einen derartigen Kontrollverlust haben die Kläger bereits mit der Versendung der Unterlagen an ihre ehemalige Adresse und dem dortigen Zugang erlitten.“

Der Kontrollverlust des Ehepaares über Ihre personenbezogenen Daten ist demnach durch die irrtümliche Versendung der Einkommenssteuererklärung eingetreten, denn so wurde dem Ehepaar die Kontrolle darüber entzogen, welchem Personenkreis die sie betreffenden personenbezogenen Daten zugänglich waren. Bemerkenswert ist zudem, dass das Gericht feststellt, dass der Kontrollverlust bereits durch die Fehlversendung eingetreten sei, auf das tatsächliche Öffnen des Briefes kommt es insoweit nicht an, denn die Daten waren bereits dem Verfügungskreis der Kläger entzogen.

Die Kläger hätten sich zudem wegen der Weitergabe der sensibelsten und persönlichsten Daten, insbesondere Gesundheitsdaten, exponiert, stigmatisiert und bloßgestellt gefühlt, zumal sie als Bewohner einer ländlichen Gegend, in der es „viel Gerede“ gebe, sehr auf Diskretion bedacht seien.

Das Amtsgericht Wesel spricht nach alledem den Klägern einen Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu.

Was bleibt für die Praxis?

Leicht verwundert lässt einen der Sachverhalt dennoch zurück. Insbesondere der Umstand, dass an der ehemaligen Adresse tatsächlich namensgleiche Personen wohnten lädt zumindest dazu ein, darüber nachzudenken, ob nicht zwischen den Klägern und den „unberechtigten“ Empfängern vielleicht ein Verwandtschaftsverhältnis besteht. Andernfalls wäre es schon ein reichlich großer Zufall…

Im Ergebnis wurde den Klägern gemeinsam ein Schadenersatzanspruch gemäß Art. 82 Abs. 1 DS-GVO in Höhe von 1.000 € zugesprochen. Die Betonung muss hier auf „gemeinsam“ liegen. Dies bedeutet eben auch, dass jedem Ehepartner jeweils nur 500 € zugesprochen wurde. Hinzu tritt, dass der Umfang des zugesprochenen Schadens erheblich unterhalb der von den Klägern angegebenen Größenordnung (insgesamt 15.000 €, je also 7.500 €) liegt.

Das Gericht führt hierzu aus: „Zu beachten war, dass die betroffenen Daten naturgemäß sensibel sind. Aus einer Steuererklärung sind eine Vielzahl von Daten ersichtlich, die Rückschlusse auf verschiedene Lebensbereiche der betroffenen Person ermöglichen und die üblicherweise Außenstehenden verborgen bleiben. Auch gibt es für die Kläger keine vergleichbare Möglichkeit wie etwa im Falle der ungewollten Veröffentlichung einer Telefonnummer oder E-Mail-Adresse, die gewechselt werden kann. Begrenzt wird der Anspruch jedoch durch den Umstand, dass über den reinen Kontrollverlust hinaus keine weiteren negativen Folgen erkennbar sind und die Daten an einen begrenzten Empfängerkreis, anders als etwa bei einem unzureichenden Schutz von Daten im Netz, gelangt sind.“

Was bleibt also? Schadenersatzanspruch ja, aber bitte im Rahmen. Verantwortliche (Steuer-)Kanzleien sind dennoch gut beraten bei der täglichen Arbeit die tragenden Grundsätze des Datenschutzrechtes zu berücksichtigen. Nur weil eine verantwortliche Stelle einer berufsrechtlichen Verschwiegenheit unterliegt, ist dies nicht gleichbedeutend mit einer Nichtanwendbarkeit des Datenschutzrechtes.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

FALL 13: LÖSUNG

Die beiden betroffenen Kunden haben jeweils Name und Anschrift des Anderen (wegen der beigefügten Packzettel) erfahren, können außerdem detektivisch auf Schuh- und Fußgrößen sowie modische Vorlieben des anderen Kunden (anhand des fehlgelieferten Schuhmodells) rückschließen. In Fällen dieser Art hätte es im „Datenschutz-Panik-Jahr“ 2018 wahrscheinlich hitzige Diskussionen gegeben, ob (wegen der Schuh- und Fußgröße) biometrische Daten vorliegen. Der EDSA verliert in seiner aktuellen Richtlinie dazu kein Wort, notiert vielmehr allgemein: „Im konkret beschriebenen Fall ist das Risiko gering, weil keine besonderen Kategorien personenbezogener Daten oder Daten mit hohen Missbrauchsrisiken betroffen sind …“ (Rn. 107).

Mit dieser Begründung, dem Fehlen konkreter Nachteile für die Betroffenen und deren geringer Zahl (zwei Personen) wird begründet, dass Meldepflichten weder gegenüber der Aufsichtsbehörde, noch gegenüber den Betroffenen bestehen. Der Verantwortliche solle „für kostenlose Rücksendung der Lieferung und der beigefügten Rechnungen“ sorgen, außerdem die Empfänger auffordern, alle eventuellen Kopien der fehlgeleiteten Rechnungen/Packzettel zu vernichten (Rn. 108). Diese Kommunikation mit den Betroffenen dient der Schadensbeseitigung (ergibt sich also nicht aus Art. 34 DS-GVO).

FALL 14: LÖSUNG

Die (erhebliche) Datenschutz-Verletzung betrifft allein den Aspekt der Vertraulichkeit (Offenlegung von Datensätzen zu mehr als 60.000 Personen an mehr als 60.000 unbefugte Empfänger). Datenintegrität und -verfügbarkeit sind nicht beeinträchtigt.

Der Verantwortliche kann zehntausende Fehl-Empfänger zwar um Löschung der Nachricht bitten, diese aber nicht effektiv kontrollieren. Nach der Lebenserfahrung ist davon auszugehen, dass nicht alle Empfänger der Lösch-Bitte nachkommen. Deshalb verbleibt – mit Blick auf die Inhalte der Datensätze einschließlich Sozialversicherungsnummer – ein erhebliches Missbrauchsrisiko.

Neben der internen Dokumentation sind Aufsichtsbehörde und betroffene Personen über den Vorfall zu informieren.

FALL 15: LÖSUNG

Auch hier betrifft die Datenschutz-Verletzung (wie typischerweise bei Fehl-Adressierungs-Fällen) die Dimension der Vertraulichkeit, nicht die Aspekte der Datenverfügbarkeit und -integrität.

Der EDSA befasst sich (Rn. 115) eingehender mit der Frage, ob die Antworten zu Essensvorlieben (Laktose-Intoleranz) als besondere Kategorie personenbezogener Daten dazu führen können, dass aus der Datenschutz-Verletzung hohe Risiken für betroffene Personen entstehen. Er verneint dies im Ergebnis, weil konkrete Missbrauchs-Szenarien bei Kenntnis der Laktose-Intoleranz nicht erkennbar seien. Betont wird, dass Laktose-Intoleranz „im Gegensatz zu anderen Essensvorlieben … nicht mit religiösen … Anschauungen“ verbunden ist.

Im Ergebnis sieht der EDSA – für mich überraschend – weder Meldepflichten an die Aufsichtsbehörde, noch gegenüber den betroffenen Personen. Bei Offenlegung von Namen, E-Mail-Adressen und Essens-Unverträglichkeiten gegenüber 15 unberechtigten Dritten (Teilnehmern früherer Sprachkurse) glaube ich nicht, dass per se von zuverlässiger Löschung der Nachricht durch sämtliche Fehl-Adressaten ausgegangen werden kann. Außerdem ist (gerade mit Blick auf das branchenspezifische Kursthema) recht wahrscheinlich, einer der Fehl-Adressaten unter Umständen Kontakt mit betroffenen Personen aufnimmt, die dann überrascht wird, weil sie keine Information erhielt. Mir scheint deshalb – abweichend vom EDSA-Vorschlag – eine Meldung des Vorfalls an die Aufsichtsbehörde plausibel und eine Nachricht an die Betroffenen (nicht nach Art. 34 DSGVO geboten, aber) fair und empfehlenswert.

FALL 16: LÖSUNG

Datenverfügbarkeit -und -integrität sind wiederum nicht betroffen. Das Versicherungsschreiben für (lediglich) einen Versicherungsnehmer wird von (lediglich) einem unbefugten Versicherungsnehmer gesehen.

Der Vorfall kann nur zur Kenntnis des Verantwortlichen gelangen, wenn der unbefugte Dritte die Fehlsendung mitteilt. Ansonsten würde sich allenfalls der betroffene Versicherungsnehmer melden, weil seine Vertragsinformation ausbleibt. Für die Versicherung wäre dann aber eher ein Briefverlust anzunehmen, als die versehentliche Mitversendung. Erst recht wäre für die Versicherung nicht aufklärbar, mit welchem anderen Brief das Schreiben fehlversendet war. Eine solche Rückmeldung des unbefugten Empfängers deutet bereits für sich genommen auf dessen Vertrauenswürdigkeit und spricht gegen ein nennenswertes Risiko aus der Datenschutz-Verletzung.

Der EDSA erwähnt diesen Umstand bei seiner Fallbetrachtung nicht und lässt völlig offen, wie der Vorfall zur Kenntnis des Verantwortlichen gelangt ist. Die Ausführungen zum Risiko sind dann sehr theoretisch (Rn. 119) und befassen sich – ohne Eingehen auf den konkreten Fall – mit der Möglichkeit, dass entsprechende Schreiben vielleicht aus sehr hohen Versicherungsprämien einen Rückschluss auf frühere Unfälle zulassen.

Im Ergebnis wird vom EDSA eine Meldepflicht nach Art. 33 DS-GVO (nicht jedoch nach Art. 34 DS-GVO) angenommen. Dies scheint mir – gerade auch im Vergleich mit dem EDSA-Vorschlag zu Fall Nr. 15 – unstimmig. Dass Kfz-Kennzeichen, Jahreslaufleistung und Versicherungsprämie im Vergleich zu Laktose-Intoleranz ein höheres Missbrauchsrisiko aufweisen, ist nicht erkennbar. Wenn bei versehentlicher Offenlegung an 15 unbefugte Personen (Fall 15) keine Meldepflicht gegenüber der Aufsichtsbehörde angenommen wird, ist die Offenlegung gegenüber einer, offenbar selbst vertrauenswürdig agierenden (die Datenpanne mitteilenden) Person (Fall 16) doch wohl deutlich risikoärmer.

Abschließend wird vom EDSA für E-Mail-Sendungen (Rn. 123) u.a. empfohlen:
– bei Massenversendung die Adressaten im Blind-Copy-Feld zu führen,
– voreingestellte Adressgruppen regelmäßig zu prüfen und zu aktualisieren,
– gegebenenfalls die verzögerte Nachrichtenaussendung zu aktivieren, um Korrekturen bei sofortiger Fehler-Entdeckung zu ermöglichen,
– die Funktion „Auto-Vervollständigung“ beim Ausfüllen der E-Mail-Adressfelder zu deaktivieren.

Im letzten Abschnitt befasst sich der EDSA unter „Sonstiges“ mit Social Engineering, also aus Sicht der Informationssicherheit mit dem „Menschen als Schwachstelle“. Dazu werden zwei Fälle behandelt:

FALL 17: IDENTITÄTSDIEBSTAHL

Das Callcenter eines Telekommunikationsunternehmens erhält einen Telefonanruf von jemandem, der sich als Kunde ausgibt und darum bittet, die E-Mail-Adresse für Rechnungsinformationen zu ändern. Der Mitarbeiter des Kontaktcenters überprüft die Identität des Kunden nach den Vorgaben des Unternehmens, indem er persönliche Daten abfragt. Der Anrufer gibt korrekt die Steuernummer und die Postanschrift des Kunden an. Danach erfolgen im Callcenter die gewünschten Änderungen. Rechnungen werden nun an die neue E-Mail-Adresse gesendet. Das Verfahren sieht keine Benachrichtigung des früheren E-Mail-Kontakts vor. Im Folgemonat kontaktiert der „echte“ Kunde das Unternehmen und erkundigt sich, warum er keine Rechnungen an seine E-Mail-Adresse erhält. Das Unternehmen bemerkt den Fehler und macht die Änderung rückgängig.

FALL 18: E-MAIL-EXPORT

Ein Handelsunternehmen entdeckt 3 Monate nach der Konfiguration, dass einige E-Mail-Konten verändert und Regeln erstellt wurden, so dass jede E-Mail, die bestimmte Ausdrücke enthält (z.B. „Rechnung“, „Zahlung“, „Banküberweisung“, „Kreditkartenauthentifizierung“, „Bankverbindung“) in einen unbenutzten Ordner verschoben und an eine externe E-Mail-Adresse weitergeleitet wird. Außerdem hat der Angreifer die Bankdaten eines Lieferanten in seine eigenen geändert und bereits mehrere gefälschte Rechnungen verschickt, die die neue Bankverbindung enthielten. Das Unternehmen kann nicht feststellen, wie sich der Angreifer Zugang zu den E-Mail-Konten verschaffte, vermutet aber eine infizierte E-Mail. Durch die schlagwortbasierte Weiterleitung von E-Mails erhielt der Angreifer die Namen von 99 Mitarbeitern; Namen und Monatsvergütung von 89 Mitarbeitern; Name, Familienstand, Anzahl der Kinder, Lohn, Arbeitszeiten und weitere Abrechnungsinformationen von 10 ausgeschiedenen Mitarbeitern. Der für die Verarbeitung Verantwortliche benachrichtigt nur die zuletzt genannten 10 früheren Mitarbeiter.

Bis zur „Auflösung“ im Schlussteil der Serie Ihnen allen einen schönen Sommer!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.