Bereits Anfang des Jahres haben wir über ein Urteil berichtet, in welchem der Schadenersatz nach Art. 82 DS-GVO aufgrund einer fehlgeleiteten Steuererklärung im Mittelpunkt stand. Nun hat das Sächsische Finanzgericht in einer Entscheidung (FG Sachsen, Urt. v. 04.02.2026 – 8 K 793/24) einem Kläger einen Schadenersatzanspruch in Höhe von 1000,00 € aufgrund einer Fehlversendung seiner Steuerklärung zugesprochen. Das Urteil aus Leipzig soll in unserem heutigen Beitrag im Blickpunkt stehen.

Worum geht es in dem Urteil?

Der Kläger hatte seine Einkommenssteuererklärung für das Jahr 2020 beim zuständigen Finanzamt eingereicht. Nach der internen Bearbeitung versandt das Finanzamt Steuererklärung des Klägers samt weiteren Unterlagen (sowie weitere 34 Steuererklärungen) aufgrund eines falsch aufgeklebten Paketscheins an einen anderen Steuerpflichtgen. Die Unterlagen umfassten neben den Stammdaten hierbei allerhand – teilweise sensible – personenbezogene Daten wie bspw. Angaben zu seinen Familienverhältnissen (Lebenspartnerin, Tochter), Angaben zu Einkünften aus nicht selbstständiger Arbeit, einen Rentenbezug, Vorsorgeaufwendungen sowie Krankengeld und Spenden (inklusive politischer Gesinnung). Die Fehlversendung wurde vom unberechtigten Empfänger zeitnah an das Finanzamt zurückgebracht.

Die Datenschutzverletzung wurde daraufhin nach Art. 33 DS-GVO beim Bundesdatenschutzbeauftragten gemeldet. Die Betroffenen (somit u.a. der Kläger) wurden gemäß Art. 34 DS-GVO ebenfalls informiert.

In der Folge stellte der Kläger durch seinen Prozess bevollmächtigten zunächst einen Auskunftsantrag und verlangte anschließend Schadenersatz nach Art. 82 DS-GVO in Höhe von 2.500,00 € aufgrund des Kontrollverlustes über seine personenbezogenen Daten. Die unbefugte Offenlegung seiner personenbezogenen Daten habe zu einem Gefühl der Verletzlichkeit geführt.  

Die Beklagte – das Finanzamt – lehnte die Zahlung zunächst ab, da es nach ihrer Ansicht an einem konkreten Schaden fehle, denn die behaupteten psychischen Belastungen des Klägers vermögen keinen immateriellen Schaden zu begründen. Es genüge gerade nicht jede individuell empfundene Unannehmlichkeit aus, um einen Ausgleichsanspruch zu begründen. Es bedarf vielmehr eines spürbaren Nachteils und einer Beeinträchtigung von persönlichkeitsbezogenen Belangen mit gewissem Gewicht.

Der Kläger erhob in der Folge Klage gegen den Freistaat Sachsen unter Angabe eines vorläufigen Streitwertes von 1.000,00 €.

Was hat das Gericht entschieden?

Das Finanzgericht Sachsen sprach in seiner Entscheidung dem Kläger einen Schadenersatzanspruch (nach Art. 82 DS-GVO) in Höhe von 1.000,00 € zu. Über die Voraussetzung des Art. 82 DS-GVO haben wir ebenfalls bereits in unserem Blog berichtet.

Der Verstoß gegen die Datenschutz-Grundverordnung sei nach Auffassung des Gerichtes bereits darin zu sehen, dass die Steuererklärung und mithin die darin enthaltenen personenbezogenen Daten des Klägers an einen unbefugten Dritten gelangt sei. Dies stellt einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DS-GVO dar.

Im Weiteren stellte das Gericht einen Schaden durch den konkreten Kontrollverlust bezüglich der in der Einkommenssteuererklärung enthaltenen personenbezogenen Daten des Klägers fest. Durch den Umstand, dass die Daten offengelegt wurden, besteht insoweit kein rein hypothetisches Risiko, sondern die konkrete Gefahr einer missbräuchlichen Verwendung der Daten durch eine unbefugte Person. Nach der Beweisaufnahme stand fest, dass neben dem Empfänger und dessen Familienangehörigen auch die Paketboten Gewahrsam an den geöffneten Sendungen mit den Steuererklärungen hatten und sich somit jederzeit Kenntnis vom Inhalt der Steuererklärung des Klägers verschaffen konnten.  

Was bleibt für die Praxis?

Die Entscheidung zeigt uns, dass bereits vermeintlich kleine Fehler bzw. Versehen datenschutzrechtliche Schadenersatzansprüche auslösen können. Verantwortliche sind daher gut beraten, entsprechende Kontrollmaßnahmen zu etablieren und insbesondere ein Managementsystem zum Umgang mit Datenschutzverletzungen zu initiieren und zu pflegen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

… oder auch: „Muss es gleich die ganze Urkunde sein?“ Ja, er hat es wieder getan … Wie so oft (fast immer) entschied sich der Europäische Gerichtshof (EuGH) erneut bei einer Frage zur Datenschutz-Grundverordnung (DS-GVO) für eine ambitionierte, strenge und weitreichende Auslegung des europäischen Datenschutzrechts. Vorgelegt war in diesem Fall (Urt. v. Urteil vom 02.03.2023 – C 268/21) durch ein schwedisches Gericht die Frage, ob im Zivilprozess bei der Beweisführung mit Urkunden Datenschutzregeln eingreifen und – falls ja – welche Einschränkungen sich für die Beweisführung und somit auch für die Prozessführung durch das Gericht ergeben. Im konkreten schwedischen Zivilprozess sollten Unterlagen verwendet werden, die personenbezogene Daten Dritter, konkret steuerliche Informationen, enthielten.

Falls sich jemand wundert: DS-GVO und Gerichtsverfahren? Gilt da nicht die JI-Richtlinie für Justiz und Inneres? Die Ausnahme für Justiz und Inneres betrifft nach Art. 2 Abs. 2 lit. d) DS-GVO nicht die gesamte Justiz, sondern nur die Strafgerichte, das heißt Datenverarbeitungen zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Strafvollstreckung. Die schwedische Vorlage zum EuGH war also ganz und gar berechtigt. Gleichzeitig ist klar: Die Entscheidung ist nicht übertragbar auf Strafverfahren, sehr wohl aber relevant für die anderen Gerichtsbarkeiten (Arbeitsgerichte, Sozialgerichte, …).

Zur Entscheidung des EuGH

Entschieden hat der EuGH: Wenn ein nationales Gericht im Prozessverlauf die Vorlegung von Urkunden verlangt und solche Urkunden personenbezogene Daten enthalten, muss das Gericht vorab prüfen, (1) ob die Verwendung der Daten für den konkreten Prozess wirklich notwendig ist, (2) ob die Datenverwendung in einem angemessenen Verhältnis zum Prozessgegenstand bleibt (anders formuliert: keine Verarbeitung hochsensibler und vertraulicher Daten Dritter bei einem Streit um 50 Euro), (3) ob sich das angestrebte Ziel (z.B. eine Beweisaufnahme) auf anderen Wegen ohne die Datenverarbeitung oder mit geringeren Eingriffen in Datenschutzrechte erreichen lässt und (4) ob bzw. welche Schutzmaßnahmen für die im Prozess verwendeten personenbezogenen Daten zu treffen sind.

Auswirkungen auf die Praxis

Das klingt (und ist) alles in der Theorie sehr einleuchtend und braucht in der praktischen Umsetzung Augenmaß. Außerdem gibt es – und dafür sind die Grundsatzentscheidungen des EuGH ja gedacht – eine Menge „Ausstrahlungen“ in andere Bereiche. Nachfolgend einige erste Überlegungen, Folgeprobleme und Lösungsversuche:

• Was der EuGH für die Urkundenvorlage entschieden hat, gilt allgemein für jeden Beweis und noch darüber hinaus für jede Verarbeitung personenbezogener Daten im Prozess. Bei Verarbeitungen durch „öffentliche Stellen“ – ein Begriff, den die DS-GVO nicht kennt, an dem die deutschen Datenschutz-Gesetzgeber aber verbissen festhalten – gelten die Datenschutzregeln für jede Datenverarbeitung, auch außerhalb von Automatisierung und Dateisystemen (vgl. § 1 Abs. 1, 8 BDSG. Gerichte sind „öffentliche Stellen“. Damit gilt z.B. auch bei Zeugenvernehmungen für jede einzelne Frage, den Umfang der Protokollierung o.ä., dass das Gericht nicht nur den Sachverhalt aufklären, sondern dies auch möglichst datenschutzfreundlich erledigen muss.
  
  Die offene Fragetechnik, bei der Zeugen zunächst aufgefordert werden, über einen bestimmten Sachverhalt generell zu berichten, „was ihnen noch einfällt“, gerät in heftigen Konflikt mit dem Datenschutz: Schon die Mitteilung des Zeugen, die Personen X und Y habe er „kurz danach oder kurz davor auch getroffen“ ist ja für die Klärung der Beweisfrage „streng genommen“ nicht zwingend nötig, für eine glaubwürdige, lebensechte Zeugenaussage aber wichitg. Ist die entsprechende Frage und Protokollierung erlaubt? Umsetzbaren Datenschutz für die Praxis wird man nur erreichen, wenn in diesen und ähnlichen Fällen den verantwortlichen Stellen ein vernünftiger, nicht zu enger Spielraum zugebilligt wird. Weder das Gericht, noch irgendein anderer Prozessteilnehmer kann die eigenen Aufgaben im Verfahren vernünftig erfüllen, wenn vor jeder Verarbeitung personenbezogener Daten der Verarbeitungsbedarf mit strengem Maßstab geprüft wird.

• Was der EuGH für das Gericht entschied, gilt auch für die anderen Prozessteilnehmer, vor allem für die Prozessparteien und deren Anwälte. Nachdem schon der Auskunftsanspruch gemäß Art. 15 DS-GVO in der anwaltlichen Praxis teils unerfreuliche Blüten treibt und als kostenloses Druckinstrument z.B. in vielen Arbeitsgerichtsverfahren genutzt wird, könnten demnächst Streitlustige die Gegenseite in Gerichtsverfahren attackieren, weil Dokumente vollständig verwendet werden. Auch insoweit hilft nur Augenmaß und das Finden vernünftiger Kompromisse / Spielräume zwischen dem Ziel des Datenschutzes einerseits und dem Ziel effizienter Rechtsdurchsetzung andererseits. Der Weg dahin gestaltet sich wahrscheinlich mühsam.

• Der EuGH hat in seiner Entscheidung selbst angesprochen, dass Art. 47 der Europäischen Grundrechtscharta den Anspruch jeder / jedes Einzelnen auf effektiven Rechtsschutz garantiert. Mit diesem Anspruch untrennbar verbunden ist das uralte Prinzip des rechtlichen Gehörs: Niemand soll in Verfahren als Objekt behandelt werden, ohne die Chance zu erhalten, die eigene Sicht der Dinge zumindest dem Gericht zur Kenntnis zu bringen. Dafür wiederum ist Voraussetzung, dass jede/r Prozessbeteiligte weiß, worüber gesprochen wird. Aus diesem Grund besteht beispielsweise ein Recht auf Akteneinsicht. Die Kenntnis personenbezogener Daten darf deshalb (mit ganz wenigen Ausnahmen) dem jeweiligen Prozessgegner nicht verwehrt werden, weil er diese Daten missbrauchen könnte.
  
  Ganz neu ist das nicht und auch Ausnahmen von diesem Prinzip sind schon lange bekannt: Wenn beispielsweise Prozessbeteiligte wegen fehlender Mittel beantragen, das Gerichts- und / oder Anwaltskosten vorläufig aus der Staatskasse getragen werden (Prozesskostenhilfe), müssen sie Unterlagen zum eigenen Vermögen und Einkommen vorlegen. Gemäß § 117 Abs. 2 Satz 2 Zivilprozessordnung (ZPO) dürfen diese „Erklärung und die Belege“ grundsätzlich „dem Gegner nur mit Zustimmung der Partei zugänglich gemacht werden“.

• Eine Grenze für Löschungen bzw. Schwärzungen von Dokumenten wird sich prozessrechtlich dort ergeben, wo Originalurkunden verwendet werden müssen, z.B. im sogenannten Urkundsprozess nach §§ 592 ff. ZPO und überall dort, wo Änderungen bzw. Teilschwärzungen auf eine Verfälschung des Inhalts hinauslaufen könnten. Der letztgenannte Aspekt bietet wieder ein weites Feld für Diskussionen und Streit im Einzelfall.

Fazit

Die DS-GVO stellt auch in diesem Bereich Althergebrachtes und Gewohntes mit Hilfe des EuGH in Frage und auf den Prüfstand. Absehbar und durch die Verordnung erzwungen werden die Aspekte des Datenschutzes künftig bei den Abwägungen mit anderen Zielen (im Prozess z.B.: Wahrheitsfindung, effiziente/kostengünstige/schnelle Verfahrensführung) stärkeres Gewicht bekommen als bisher. Wichtig ist aber, dies nicht als Paradigmenwechsel misszuverstehen, also anzunehmen, dass künftig Datenschutzziel stets Vorrang erhalten. Und wichtig ist auch, zu sehen und anzuerkennen, dass bei der Abwägung zwischen verschiedenen Zielen die Entscheidung im Einzelfall nicht mathematisch ausrechenbar ist, nicht selten auch mehrere verschiedene Entscheidungen begründbar und vertretbar sein können.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.