AG Wesel: 500 Euro Schadensersatz aus Art. 82 DSGVO wenn ein Steuerberater eine Steuererklärung versehentlich an die alte Adresse seines Mandanten schickt
AG Wesel
Urteil vom 23.07.2025
30 C 138/21
Das AG Wesel hat entschieden, dass ein Anspruch auf Schadensersatz in Höhe von 500 Euro aus Art. 82 DSGVO besteht, wenn ein Steuerberater eine Steuererklärung versehentlich an die alte Adresse seines Mandanten schickt.
Aus den Entscheidungsgründen:
Die Kläger haben gegen die Beklagten als Gesamtschuldner einen Anspruch auf Zahlung eines immateriellen Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO, dies jedoch nur in Höhe von jeweils 500,00 EUR.
Die sachliche, räumliche und zeitliche Anwendbarkeit der DSGVO ergibt sich aus den Art. 2 Abs. 1, 3 Abs. 1 und 99 Abs. 2 DSGVO.
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Die Beklagte zu 1) ist als juristische Person, die im Rahmen ihrer Tätigkeit über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Die Haftung der Beklagten zu 2) bis 6) als Gesellschafter der Beklagten zu 1) ergibt sich aus § 721 BGB.
Die Beklagte zu 1) hat jedenfalls gegen Art. 5 Abs. 1 lit. d) DSGVO verstoßen. Nach dieser Vorschrift müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“). Gegen diese Vorgabe haben die Beklagten verstoßen, indem sie die ehemalige Adresse der Kläger nicht vollumfänglich aus dem Datenbestand gelöscht haben. Hierbei ist unerheblich, dass die Adresse durch ein Programm automatisch eingefügt wurde. Nach Maßgabe des Art. 5 Abs. 1 lit. d) DSGVO hatte die Beklagte gerade dafür Sorge zu tragen, dass die Adresse im System überhaupt nicht mehr hinterlegt ist. Ein Verstoß gegen diesen Grundsatz der Datenverarbeitung stellt zugleich eine unrechtmäßige Datenerarbeitung dar, die geeignet ist, die Schadensersatzpflicht gemäß Art. 82 DSGVO auszulösen (BGH, Urteil vom 18.11.2024 - VI ZR 10/24 m.w.N.).
Den Klägern ist infolge des Verstoßes auch ein Schaden entstanden.
Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (stRspr, BGH a.a.O. m.w.N.). Der Begriff ist mit Blick auf die Zielsetzung der Verordnung weit auszulegen und nicht von dem Überschreiten einer Bagatell-Grenze abhängig (EuGH, Urteil vom 20.06.2024 - C-590/22; BGH a.a.O.).
Dennoch stellt der Schaden ein eigenständiges Tatbestandsmerkmal des Art. 82 Abs. 1 DSGVO dar, der nicht mit dem Verstoß gegen die Verordnung gleichgesetzt werden kann und über den reinen Verstoß hinausgehen muss (EuGH a.a.O., BGH a.a.O.).
Sowohl der Gerichtshof als auch der BGH haben klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH a.a.O., BH a.a.O.). Dies wird insbesondere auf den ersten Satz des 85. Erwägungsgrunds der DSGVO gestützt, in dem es heißt, dass „(e)ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen (kann), wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten.“ Diese Formulierung spiegelt auch die zu unterscheidenden Tatbestandsmerkmale des Art. 82 DSGVO: Die in Art. 82 Abs. 1 DSGVO vorausgesetzte Datenschutzverletzung, kann, muss aber nicht zu einem die Ersatzpflicht auslösenden Schaden führen; dieser ist gesondert festzustellen, kann aber beispielsweise in dem Kontrollverlust, der mögliche, aber nicht zwingende Folge des Verstoßes ist, liegen. Der Anspruchsteller muss aus diesem Grund lediglich den eingetretenen Kontrollverlust, diesen aber vollumfänglich, beweisen.
Einen derartigen Kontrollverlust haben die Kläger bereits mit der Versendung der Unterlagen an ihre ehemalige Adresse und dem dortigen Zugang erlitten. Das Gericht ist nach dem Ergebnis der Beweisaufnahme davon überzeugt, dass die von der Beklagten abgesandte Erklärung an der ehemaligen Adresse der Kläger eingegangen und von den Zeugen A in Empfang genommen worden ist. Dies ergibt sich aus den übereinstimmenden und glaubhaften Bekundungen der Zeugen im Rahmen ihrer Vernehmung.
Infolge der durch die Beklagte vorgenommenen und kausal durch den Verstoß gegen Art. 5 Abs. 1 lit. d) DSGVO erfolgten, irrtümlichen Versendung war den Klägern die Kontrolle darüber entzogen, welchem Personenkreis die den Beklagten zur Verfügung gestellten und in der Steuererklärung aufgegriffenen personenbezogenen Daten zugänglich waren. Ob die Zeugen den von der Beklagten in Gang gesetzten Kausalverlauf durch das eigenmächtige Öffnen des Briefs unterbrochen haben, ist für den Schadenseintritt unerheblich, da dieser bereits zuvor mit der Versendung des Briefs eingetreten war. Bereits in diesem Zeitpunkt waren die Daten dem Verfügungskreis der Kläger entzogen. Aus diesem Grund ist für das Vorliegen des Schadens nach Maßgabe der vom Gerichtshof aufgestellten und vom BGH aufgegriffenen Grundsätze auch unerheblich, ob und inwieweit die Zeugen von dem Inhalt des Briefs Kenntnis genommen haben. Dieser Umstand ist für den Umfang des Schadens relevant, nicht aber für den Eintritt des Schadens als solcher. Die Kläger hatten mit der Versendung des Briefs nicht mehr in der Hand, welcher Personenkreis von ihren Daten Kenntnis nehmen und diese verwenden kann. Dies allein stellt eine negative Folge des Datenschutzverstoßes dar, die einen immateriellen Schaden begründet.
Der Umfang des eingetretenen Schadens liegt aber erheblich unterhalb der von den Klägern angegebenen Größenordnung.
Die Ausgleichsfunktion des Art. 82 DSGVO gebietet eine vollständige und wirksame Entschädigung in Geld, eine Abschreckungs- oder Straffunktion soll der Anspruch aber gerade nicht erfüllen (EuGH a.a.O., BGH a.a.O.). Weder die Schwere des Verstoßes noch die Anzahl der Verstöße gegen die Verordnung oder ein diesbezüglicher Vorsatz des Verantwortlichen finden bei der Bemessung des Schadens Berücksichtigung (EuGH, Urteil vom 20.06.2024 - C-182/22, C-189/22; BGH a.a.O.).
Ist nach den Feststellungen des Gerichts allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle in den Blick zu nehmen (BGH a.a.O.).
Unter Berücksichtigung dieser Maßstäbe hält das Gericht ein Schmerzensgeld in Höhe von jeweils 500,00 EUR für angemessen, aber auch ausreichend, § 287 ZPO. Auf Seiten der Kläger ist allein der oben genannte Kontrollverlust bei der Ermittlung der Schadenshöhe zu berücksichtigen und anhand der vorgenannten Kriterien zu bemessen. Denn der Beweis eines darüberhinausgehenden Nachteils ist den Klägern nicht gelungen. Die Aussagen der Zeugen waren insofern unergiebig, da sich aus diesen gerade nicht positiv ergibt, dass die Zeugen von Details der Steuerklärung und den hierin enthaltenen Daten Kenntnis genommen haben. Erst recht bestehen keine Anhaltspunkte dafür, dass die Daten, wie die Kläger befürchten, über die Zeugen einen noch größeren Personenkreis erreicht haben.
Zu beachten war, dass die betroffenen Daten naturgemäß sensibel sind. Aus einer Steuererklärung sind eine Vielzahl von Daten ersichtlich, die Rückschlusse auf verschiedene Lebensbereiche der betroffenen Person ermöglichen und die üblicherweise Außenstehenden verborgen bleiben. Auch gibt es für die Kläger keine vergleichbare Möglichkeit wie etwa im Falle der ungewollten Veröffentlichung einer Telefonnummer oder E-Mail-Adresse, die gewechselt werden kann. Begrenzt wird der Anspruch jedoch durch den Umstand, dass über den reinen Kontrollverlust hinaus keine weiteren negativen Folgen erkennbar sind und die Daten an einen begrenzten Empfängerkreis, anders als etwa bei einem unzureichenden Schutz von Daten im Netz, gelangt sind. Die Sensibilität der Daten erfordert den zugesprochenen Ausgleich, ein Schmerzensgeld von mehr als 500,00 EUR ist aber nicht gerechtfertigt, da nicht festgestellt werden konnte, dass überhaupt ein Dritter von den Daten Kenntnis genommen hat.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 23.07.2025
30 C 138/21
Das AG Wesel hat entschieden, dass ein Anspruch auf Schadensersatz in Höhe von 500 Euro aus Art. 82 DSGVO besteht, wenn ein Steuerberater eine Steuererklärung versehentlich an die alte Adresse seines Mandanten schickt.
Aus den Entscheidungsgründen:
Die Kläger haben gegen die Beklagten als Gesamtschuldner einen Anspruch auf Zahlung eines immateriellen Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO, dies jedoch nur in Höhe von jeweils 500,00 EUR.
Die sachliche, räumliche und zeitliche Anwendbarkeit der DSGVO ergibt sich aus den Art. 2 Abs. 1, 3 Abs. 1 und 99 Abs. 2 DSGVO.
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Die Beklagte zu 1) ist als juristische Person, die im Rahmen ihrer Tätigkeit über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Die Haftung der Beklagten zu 2) bis 6) als Gesellschafter der Beklagten zu 1) ergibt sich aus § 721 BGB.
Die Beklagte zu 1) hat jedenfalls gegen Art. 5 Abs. 1 lit. d) DSGVO verstoßen. Nach dieser Vorschrift müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“). Gegen diese Vorgabe haben die Beklagten verstoßen, indem sie die ehemalige Adresse der Kläger nicht vollumfänglich aus dem Datenbestand gelöscht haben. Hierbei ist unerheblich, dass die Adresse durch ein Programm automatisch eingefügt wurde. Nach Maßgabe des Art. 5 Abs. 1 lit. d) DSGVO hatte die Beklagte gerade dafür Sorge zu tragen, dass die Adresse im System überhaupt nicht mehr hinterlegt ist. Ein Verstoß gegen diesen Grundsatz der Datenverarbeitung stellt zugleich eine unrechtmäßige Datenerarbeitung dar, die geeignet ist, die Schadensersatzpflicht gemäß Art. 82 DSGVO auszulösen (BGH, Urteil vom 18.11.2024 - VI ZR 10/24 m.w.N.).
Den Klägern ist infolge des Verstoßes auch ein Schaden entstanden.
Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (stRspr, BGH a.a.O. m.w.N.). Der Begriff ist mit Blick auf die Zielsetzung der Verordnung weit auszulegen und nicht von dem Überschreiten einer Bagatell-Grenze abhängig (EuGH, Urteil vom 20.06.2024 - C-590/22; BGH a.a.O.).
Dennoch stellt der Schaden ein eigenständiges Tatbestandsmerkmal des Art. 82 Abs. 1 DSGVO dar, der nicht mit dem Verstoß gegen die Verordnung gleichgesetzt werden kann und über den reinen Verstoß hinausgehen muss (EuGH a.a.O., BGH a.a.O.).
Sowohl der Gerichtshof als auch der BGH haben klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH a.a.O., BH a.a.O.). Dies wird insbesondere auf den ersten Satz des 85. Erwägungsgrunds der DSGVO gestützt, in dem es heißt, dass „(e)ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen (kann), wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten.“ Diese Formulierung spiegelt auch die zu unterscheidenden Tatbestandsmerkmale des Art. 82 DSGVO: Die in Art. 82 Abs. 1 DSGVO vorausgesetzte Datenschutzverletzung, kann, muss aber nicht zu einem die Ersatzpflicht auslösenden Schaden führen; dieser ist gesondert festzustellen, kann aber beispielsweise in dem Kontrollverlust, der mögliche, aber nicht zwingende Folge des Verstoßes ist, liegen. Der Anspruchsteller muss aus diesem Grund lediglich den eingetretenen Kontrollverlust, diesen aber vollumfänglich, beweisen.
Einen derartigen Kontrollverlust haben die Kläger bereits mit der Versendung der Unterlagen an ihre ehemalige Adresse und dem dortigen Zugang erlitten. Das Gericht ist nach dem Ergebnis der Beweisaufnahme davon überzeugt, dass die von der Beklagten abgesandte Erklärung an der ehemaligen Adresse der Kläger eingegangen und von den Zeugen A in Empfang genommen worden ist. Dies ergibt sich aus den übereinstimmenden und glaubhaften Bekundungen der Zeugen im Rahmen ihrer Vernehmung.
Infolge der durch die Beklagte vorgenommenen und kausal durch den Verstoß gegen Art. 5 Abs. 1 lit. d) DSGVO erfolgten, irrtümlichen Versendung war den Klägern die Kontrolle darüber entzogen, welchem Personenkreis die den Beklagten zur Verfügung gestellten und in der Steuererklärung aufgegriffenen personenbezogenen Daten zugänglich waren. Ob die Zeugen den von der Beklagten in Gang gesetzten Kausalverlauf durch das eigenmächtige Öffnen des Briefs unterbrochen haben, ist für den Schadenseintritt unerheblich, da dieser bereits zuvor mit der Versendung des Briefs eingetreten war. Bereits in diesem Zeitpunkt waren die Daten dem Verfügungskreis der Kläger entzogen. Aus diesem Grund ist für das Vorliegen des Schadens nach Maßgabe der vom Gerichtshof aufgestellten und vom BGH aufgegriffenen Grundsätze auch unerheblich, ob und inwieweit die Zeugen von dem Inhalt des Briefs Kenntnis genommen haben. Dieser Umstand ist für den Umfang des Schadens relevant, nicht aber für den Eintritt des Schadens als solcher. Die Kläger hatten mit der Versendung des Briefs nicht mehr in der Hand, welcher Personenkreis von ihren Daten Kenntnis nehmen und diese verwenden kann. Dies allein stellt eine negative Folge des Datenschutzverstoßes dar, die einen immateriellen Schaden begründet.
Der Umfang des eingetretenen Schadens liegt aber erheblich unterhalb der von den Klägern angegebenen Größenordnung.
Die Ausgleichsfunktion des Art. 82 DSGVO gebietet eine vollständige und wirksame Entschädigung in Geld, eine Abschreckungs- oder Straffunktion soll der Anspruch aber gerade nicht erfüllen (EuGH a.a.O., BGH a.a.O.). Weder die Schwere des Verstoßes noch die Anzahl der Verstöße gegen die Verordnung oder ein diesbezüglicher Vorsatz des Verantwortlichen finden bei der Bemessung des Schadens Berücksichtigung (EuGH, Urteil vom 20.06.2024 - C-182/22, C-189/22; BGH a.a.O.).
Ist nach den Feststellungen des Gerichts allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle in den Blick zu nehmen (BGH a.a.O.).
Unter Berücksichtigung dieser Maßstäbe hält das Gericht ein Schmerzensgeld in Höhe von jeweils 500,00 EUR für angemessen, aber auch ausreichend, § 287 ZPO. Auf Seiten der Kläger ist allein der oben genannte Kontrollverlust bei der Ermittlung der Schadenshöhe zu berücksichtigen und anhand der vorgenannten Kriterien zu bemessen. Denn der Beweis eines darüberhinausgehenden Nachteils ist den Klägern nicht gelungen. Die Aussagen der Zeugen waren insofern unergiebig, da sich aus diesen gerade nicht positiv ergibt, dass die Zeugen von Details der Steuerklärung und den hierin enthaltenen Daten Kenntnis genommen haben. Erst recht bestehen keine Anhaltspunkte dafür, dass die Daten, wie die Kläger befürchten, über die Zeugen einen noch größeren Personenkreis erreicht haben.
Zu beachten war, dass die betroffenen Daten naturgemäß sensibel sind. Aus einer Steuererklärung sind eine Vielzahl von Daten ersichtlich, die Rückschlusse auf verschiedene Lebensbereiche der betroffenen Person ermöglichen und die üblicherweise Außenstehenden verborgen bleiben. Auch gibt es für die Kläger keine vergleichbare Möglichkeit wie etwa im Falle der ungewollten Veröffentlichung einer Telefonnummer oder E-Mail-Adresse, die gewechselt werden kann. Begrenzt wird der Anspruch jedoch durch den Umstand, dass über den reinen Kontrollverlust hinaus keine weiteren negativen Folgen erkennbar sind und die Daten an einen begrenzten Empfängerkreis, anders als etwa bei einem unzureichenden Schutz von Daten im Netz, gelangt sind. Die Sensibilität der Daten erfordert den zugesprochenen Ausgleich, ein Schmerzensgeld von mehr als 500,00 EUR ist aber nicht gerechtfertigt, da nicht festgestellt werden konnte, dass überhaupt ein Dritter von den Daten Kenntnis genommen hat.
Den Volltext der Entscheidung finden Sie hier: