Versendet ein Finanzamt eine Steuererklärung mit personenbezogenen Daten versehentlich an einen Dritten, kann dies einen Anspruch auf Schadensersatz nach Art. 82 DSGVO begründen. Das Finanzgericht Leipzig hat mit Urteil vom 4. Februar 2026 entschieden, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann und sprach dem Betroffenen 1.000 Euro zu.
Der Sachverhalt
Der Kläger hatte seine Einkommensteuererklärung für das Jahr 2022 beim Finanzamt eingereicht. Diese enthielt neben Identifikationsdaten auch zahlreiche sensible Informationen, darunter Angaben zu Einkünften, familiären Verhältnissen, Krankheitskosten und Spenden.
Aufgrund eines Fehlers bei der Adressierung wurde eine Transportkiste mit mehreren Steuererklärungen, darunter die des Klägers, versehentlich an einen anderen Steuerpflichtigen versandt. Ursache war ein falsch aufgeklebter Paketschein. Der Empfänger brachte die Unterlagen einige Tage später an das Finanzamt zurück.
Der Kläger machte geltend, durch die Offenlegung seiner Daten einen Kontrollverlust erlitten zu haben und verlangte immateriellen Schadensersatz. Das Finanzamt lehnte dies zunächst ab und argumentierte, ein bloßer Datenschutzverstoß ohne konkrete Folgen reiche nicht aus.
Die Entscheidung des Gerichts
Das Finanzgericht Leipzig bejahte einen Anspruch auf Schadensersatz nach Art. 82 DSGVO. Es stellte einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f DSGVO fest.
Ein immaterieller Schaden liege bereits im Verlust der Kontrolle über personenbezogene Daten. Entscheidend war, dass die Postkiste geöffnet beim Empfänger ankam. Damit konnte nicht ausgeschlossen werden, dass auch weitere Personen Zugriff auf die Unterlagen hatten. Es bestand somit mehr als nur ein theoretisches Risiko einer unbefugten Kenntnisnahme.
Das Gericht stellte klar, dass es nicht erforderlich ist, einen konkreten Missbrauch der Daten nachzuweisen. Eine nachvollziehbare Befürchtung einer möglichen missbräuchlichen Verwendung genügt.
Bemessung des Schadensersatzes
Bei der Höhe des Schadensersatzes berücksichtigte das Gericht insbesondere die Sensibilität und den Umfang der offengelegten Daten. Gleichzeitig wurde berücksichtigt, dass die Daten nur einem begrenzten Personenkreis zugänglich waren.
Unter Abwägung dieser Umstände hielt das Gericht einen Schadensersatz in Höhe von 1.000 Euro für angemessen. Zusätzlich wurden dem Kläger vorgerichtliche Rechtsanwaltskosten zugesprochen.
DSGVO-Perspektive und Einordnung
Die Entscheidung verdeutlicht, dass der Begriff des immateriellen Schadens weit auszulegen ist. Bereits organisatorische Fehler, etwa bei Versand- oder Kontrollprozessen, können einen DSGVO-Verstoß begründen.
Für Behörden und Unternehmen folgt daraus, dass auch alltägliche Abläufe datenschutzrechtlich abgesichert sein müssen. Verantwortliche haften grundsätzlich auch dann, wenn Fehler im Rahmen arbeitsteiliger Prozesse oder durch externe Dienstleister entstehen.
Fazit
Das Urteil zeigt, dass bereits eine einmalige Datenpanne einen ersatzfähigen immateriellen Schaden darstellen kann. Der Verlust der Kontrolle über sensible personenbezogene Daten reicht hierfür aus. Für die Praxis bedeutet das: Auch einfache organisatorische Fehler können zu DSGVO-Schadensersatz führen und sollten durch geeignete Maßnahmen vermieden werden.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
