Wird die Steuererklärung inklusive weiterer Unterlagen vom Finanzamt an einen Dritten versendet, kann der Betroffene einen Anspruch auf DSGVO-Schadensersatz nach Art. 82 DSGVO haben (FG Leipzig, Urt. v. 04.02.2026 - Az.: 8 K 793/24).
Der Kläger reichte seine Einkommensteuererklärung 2022 beim Finanzamt ein. Kurz darauf wurde seine Steuererklärung zusammen mit weiteren Unterlagen versehentlich an einen anderen Steuerpflichtigen geschickt. Grund war ein falsch aufgeklebter Paketschein. Die Unterlagen enthielten zahlreiche persönliche Daten, unter anderem Angaben zu Einkünften, Krankheiten, Spenden und familiären Verhältnissen. Der falsche Empfänger brachte die Postkiste einige Tage später zurück zum Finanzamt.
Der Kläger fühlte sich durch die Offenlegung seiner sensiblen Daten in seiner Privatsphäre verletzt und verlangte immateriellen Schadensersatz wegen Kontrollverlusts über seine Daten. Das Finanzamt lehnte eine Zahlung ab. Es meinte, ein bloßer Datenschutzverstoß reiche nicht aus, da es an einem konkreten Schaden fehle.
Das FG Leipzig sprach dem Kläger einen DSGVO-Schadensersatz iHv. 1.000,- EUR zu.
Es liege ein Verstoß gegen die DSGVO vor. Die Steuererklärung sei unbefugt an einen Dritten gelangt und damit nicht ausreichend geschützt gewesen. Dadurch sei die Vertraulichkeit der personenbezogenen Daten verletzt worden.
Ein immaterieller Schaden liege bereits im Verlust der Kontrolle über die eigenen Daten.
Nach der Beweisaufnahme sei bewiesen, dass das Paket beim Empfänger geöffnet angekommen sei. Damit habe nicht ausgeschlossen werden können, dass weitere Personen, z.B. der Paketbote, Einsicht in die Unterlagen genommen hätten.
Es habe daher mehr als nur ein rein theoretisches Risiko bestanden.
Bei der Höhe des Schadensersatzes sei zu berücksichtigen, dass besonders sensible und umfangreiche Daten betroffen gewesen seien. Gleichzeitig sei aber zu berücksichtigen, dass die Daten nur einem begrenzten Personenkreis zugänglich gemacht worden seien. Unter Abwägung dieser Umstände erscheine eine Summe iHv. 1.000,- EUR angemessen:
"Bei der Bemessung eines angemessenen Ausgleiches analog § 253 Abs. 2 BGB für den immateriellen Schaden geht das erkennende Gericht vom durch den BGH mit Urteil vom 18. November 2024 – XI ZR 10/24 zu beurteilenden Kontrollverlust (Veröffentlichung der Telefonnummer in Verknüpfung mit Vornamen, Nachname, Geschlecht und Arbeitsstätte im Internet) aus, für den dort 100,00 Euro als angemessen angesehen wurden.
Dabei hat es einerseits berücksichtigt, dass die vorliegend betroffenen personenbezogenen Daten des Klägers erheblich umfänglicher und sensibler sind, sie aber andererseits nicht für eine unbegrenzte Vielzahl von Personen im Internet, sondern nur für einen oder mehrere Mitarbeiter des Paketdienstleisters zugänglich waren.
Da sich seit dem in der ersten mündlichen Verhandlung am 02.07.2025 gemachten Vergleichsvorschlag durch die Beweisaufnahme in der letzten mündlichen Verhandlung am 04.02.2026 größere Unsicherheiten hinsichtlich der Zugänglichkeit der Daten des Klägers für unbefugte Dritte ergeben haben, erscheint eine Erhöhung des damals vorschlagsgegenständlichen Schadensersatzbetrages von 500,00 Euro auf 1.000,00 Euro unter Billigkeitsgesichtspunkten angezeigt."