Datenschutz

Datenschutz-Panne: Steuerkanzlei versendet Post an die falsche Adresse

24. Juni 2024
Grafik: Clipboard und Brief

Eine Steuerkanzlei versendete die Steuererklärung ihrer Mandanten an die falsche Adresse, wo diese von den neuen Bewohnern geöffnet wurde. Dafür verlangen die Mandanten nun Schadensersatz. Der EuGH hatte zu entscheiden: Kann auch die bloße Befürchtung eines Datenmissbrauchs einen immateriellen Schaden begründen?

Eine Steuerberatungskanzlei versendete versehentlich die Steuererklärung eines Ehepaars an deren alte Adresse. Die Mandanten hatten die Kanzlei im Vorfeld über den Umzug informiert. Die neuen Bewohner öffneten die Unterlagen versehentlich. Ob und wieviel der Unterlagen sie gelesen haben, konnte nicht geklärt werden. Die Möglichkeit dazu hatten sie jedenfalls: Eine Steuererklärung erhält regelmäßig einige – mitunter auch sensible – personenbezogene Daten wie Namen und Geburtsdaten der Empfänger und deren Kinder, Angaben zu Berufen und Arbeitsstätten, Steueridentifikationsnummern, Bankverbindungen, Informationen zur Religionszugehörigkeit, Schwerbehinderteneigenschaft sowie zu Einnahmen und Ausgaben.

Den Mandanten jedenfalls war das nicht geheuer: Sie verklagten die Steuerberatungskanzlei auf Schadensersatz in Höhe von 15.000 €. Das zuständige Amtsgericht Wesel wollte zunächst vom EuGH wissen, ob die bloße Befürchtung, dass unbefugte Personen die Daten zur Kenntnis genommen haben könnten, für einen Ersatzanspruch nach der DSGVO ausreichen.

Das sagt das Gericht

Der EuGH stellte klar, dass ein tatsächlicher Missbrauch der Daten durch Dritte nicht notwendig ist, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen (EuGH 20.6.2024 - C-590/22). Die begründete Befürchtung eines Missbrauchs kann ausreichen, um einen immateriellen Schaden (Schmerzensgeld) zu begründen, wenn diese Befürchtung und deren negative Folgen nachgewiesen werden können. Ein bloßer Verstoß gegen die DSGVO allein reicht hingegen nicht aus (so bereits EuGH 4.5.2023 – C-300/21). Bezüglich der Bemessung des Schadensersatzes gilt: Der Anspruch nach Art. 82 Abs. 1 DSGVO hat keine Abschreckungsfunktion.

Praxistipp

Der Schadensersatz nach der DSGVO – und hier insbesondere der Ersatz immaterieller Schäden – beschäftigt nationale Gerichte und immer wieder auch den EuGH. Er hat bereits Ende letzten Jahres entschieden, dass die Angst vor einem Datenmissbrauch einen immateriellen Schaden begründen kann (EuGH 14.12.2023, C-340/21, siehe dazu Weichert in CuA 2/2024, S. 38 ff)). Der immer wieder von deutschen Gerichten angeführten »Bagatellgrenze« hatte der EuGH in diesem Urteil eine Absage erteilt. Auf Grundlage der Entscheidung des EuGH muss das Amtsgericht Wesel den Fall nun abschließend entscheiden.

© bund-verlag.de (ct)

Newsletter 2024 viertel - Anzeige -

Das könnte Sie auch interessieren