Schadensersatz nach DSGVO: Steuerberaterkanzlei schickt Steuererklärung an die alte Adresse der Mandanten

Gem. Art. 5 Abs. 1 lit. d) DSGVO müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“).

Der Sachverhalt:
Die Kläger waren über mehrere Jahre Mandanten der beklagten Steuerberaterkanzlei. Im August 2019 hatten sie der Beklagten per E-Mail mitgeteilt, dass sich ihre bisherige Anschrift geändert hätte. Vorsichtshalber wiesen die Kläger die Beklagte noch mehrfach auf die neue Adresse hin. Bei der Erstellung der Einkommenssteuererklärung für das Jahr 2019 wurde automatisch die Kontaktdaten der vorherigen Erklärung eingelesen, die noch die ehemalige Adresse der Kläger enthielt. Aus diesem Grund wurde die Erklärung an die ursprüngliche Adresse versendet.

Die Kläger behaupteten, das die Steuererklärung enthaltende Schreiben der Beklagten sei den neuen Bewohnern ihrer ehemaligen Wohnung zugegangen. Diese hätten den Umschlag wegen der Namensähnlichkeit versehentlich geöffnet und vom Inhalt Kenntnis genommen. Die Kläger hätten sich wegen der Weitergabe der sensibelsten und persönlichsten Daten, insbesondere Gesundheitsdaten, exponiert, stigmatisiert und bloßgestellt gefühlt, zumal sie als Bewohner einer ländlichen Gegend, in der es "viel Gerede" gebe, sehr auf Diskretion bedacht seien.

Infolgedessen verlangten die Kläger von der Beklagten ein angemessenes Schmerzensgeld von mind. 15.000 €. Die Beklagten behaupteten, es liege nahe, dass die Kläger einen Nachsendeauftrag eingerichtet und die Erklärung deshalb unmittelbar empfangen hätten. Sie waren der Ansicht, selbst wenn die Empfänger das Schreiben geöffnet und den Inhalt zur Kenntnis genommen haben sollten, sei es den Beklagten nicht zuzurechnen, da es sich insofern um eine eigenständige und strafbare Handlung der Empfänger handele, die eine Zäsur darstelle und die Kausalkette der Beklagtenhandlungen unterbrochen habe.

Das AG hat der Klage i.H.v. insgesamt 1.000 € stattgegeben und im Übrigen abgewiesen.

Die Gründe:
Die beiden Kläger haben gegen die Beklagte einen Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DSGVO, dies jedoch nur i.H.v. jeweils 500 €.

Die sachliche, räumliche und zeitliche Anwendbarkeit der DSGVO ergab sich aus den Art. 2 Abs. 1, 3 Abs. 1 und 99 Abs. 2 DSGVO. Gem. Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Gem. Art. 5 Abs. 1 lit. d) DSGVO müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“).

Gegen diese Vorgabe hat die Beklagte verstoßen, indem sie die ehemalige Adresse der Kläger nicht vollumfänglich aus dem Datenbestand gelöscht hatte. Unerheblich war, dass die Adresse durch ein Programm automatisch eingefügt worden war. Nach Maßgabe des Art. 5 Abs. 1 lit. d) DSGVO hatte die Beklagte gerade dafür Sorge zu tragen, dass die Adresse im System überhaupt nicht mehr hinterlegt ist. Ein Verstoß gegen diesen Grundsatz der Datenverarbeitung stellte zugleich eine unrechtmäßige Datenerarbeitung dar, die geeignet ist, die Schadensersatzpflicht gem. Art. 82 DSGVO auszulösen (BGH, Urt. v. 18.11.2024 - VI ZR 10/24).

Den Klägern ist infolge des Verstoßes auch ein Schaden entstanden. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten i.S.d. Bestimmung autonom unionsrechtlich zu definieren. Er ist mit Blick auf die Zielsetzung der Verordnung weit auszulegen und nicht von dem Überschreiten einer Bagatell-Grenze abhängig (EuGH, Urteil vom 20.6.2024 - C-590/22). Der Umfang des eingetretenen Schadens lag hier aber erheblich unterhalb der von den Klägern angegebenen Größenordnung.

Ist nach den Feststellungen des Gerichts allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, hat der Tatrichter bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle in den Blick zu nehmen. Infolgedessen hielt das Gericht ein Schmerzensgeld i.H.v. jeweils 500 € für angemessen, aber auch ausreichend, § 287 ZPO.

Mehr zum Thema:

Beratermodul Datenschutzrecht
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!

Beratermodul IT-Recht
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!