Die Ein­hal­tung der Grund­sät­ze der DSGVO gehört zu den Kern­pflich­ten eines jeden Ver­ant­wort­li­chen. Ein ak­tu­el­les Urteil des Amts­ge­richts Wesel zeigt, dass schon kleine Nach­läs­sig­kei­ten im Umgang mit Adress­da­ten zu Scha­dens­er­satz­an­sprü­chen führen können – und damit ein er­heb­li­ches Risiko darstellen.

Sach­ver­halt

Die Kläger waren lang­jäh­ri­ge Man­dan­ten einer Steu­er­be­ra­ter­kanz­lei. Im August 2019 teilten sie dieser per E-Mail mit, dass sich ihre An­schrift ge­än­dert habe. Um si­cher­zu­ge­hen, dass die neue Adresse tat­säch­lich in den Stamm­da­ten be­rück­sich­tigt wird, wie­der­hol­ten sie diese In­for­ma­ti­on mehrfach.

Trotz­dem kam es zu einem Fehler: Bei der Er­stel­lung der Ein­kom­men­steu­er­erklä­rung für 2019 wurden die Kon­takt­da­ten aus der Vor­jah­res­er­klä­rung au­to­ma­tisch ein­ge­le­sen, in­klu­si­ve der alten An­schrift. Die Steu­er­erklä­rung wurde dar­auf­hin an die falsche Adresse versendet.

Die neuen Be­woh­ner der frü­he­ren Wohnung öff­ne­ten den Um­schlag ver­se­hent­lich, da die Namen ähnlich klangen. Dadurch er­hiel­ten sie Ein­blick in die höchst sen­si­blen Daten der Man­dan­ten, die nicht nur fi­nan­zi­el­le, sondern auch ge­sund­heit­li­che Angaben ent­hiel­ten. Die Be­trof­fe­nen fühlten sich dadurch bloß­ge­stellt und stig­ma­ti­siert, gerade weil sie in einer länd­li­chen Gegend mit „viel Gerede“ wohnten.

Klage und das Urteil

Die Man­dan­ten for­der­ten von der Kanzlei ein Schmer­zens­geld von min­des­tens 15.000 Euro.
Das Amts­ge­richt Wesel (Urt. v. 23.07.2025 – 30 C 138/21) gab der Klage nur teil­wei­se statt und sprach den Klägern einen im­ma­te­ri­el­len Scha­dens­er­satz von jeweils 500 € zu.

Be­grün­dung des Gerichts:

  • Art. 5 Abs. 1 lit. d DSGVO ver­pflich­tet Ver­ant­wort­li­che, per­so­nen­be­zo­ge­ne Daten sach­lich richtig und auf dem neu­es­ten Stand zu halten.

  • Es genügt nicht, wenn ver­al­te­te Daten tech­nisch noch im System hin­ter­legt sind. Viel­mehr muss aktiv dafür gesorgt werden, dass solche Daten nicht mehr genutzt werden können.

  • Dass die alte Adresse au­to­ma­tisch ein­ge­le­sen wurde, ent­las­te­te die Kanzlei nicht. Der Ver­ant­wort­li­che trägt die Pflicht, Systeme so ein­zu­rich­ten, dass Fehler durch ver­al­te­te Daten aus­ge­schlos­sen sind.

  • Bereits der Kon­troll­ver­lust über per­so­nen­be­zo­ge­ne Daten stellt einen im­ma­te­ri­el­len Schaden im Sinne des Art. 82 DSGVO dar. Eine Ba­ga­tell­gren­ze gibt es nach ak­tu­el­ler EuGH-Rech­t­spre­chung nicht (EuGH, Urt. v. 20.06.2024 – C-590/22).

Das Gericht betonte zudem, dass bei der Be­mes­sung des Scha­dens­er­sat­zes die Sen­si­bi­li­tät der Daten, die Dauer und Reich­wei­te des Kon­troll­ver­lusts sowie die Mög­lich­keit, die Kon­trol­le zu­rück­zu­er­lan­gen, maß­geb­lich sind. Da hier nur ein be­grenz­ter Emp­fän­ger­kreis be­trof­fen war, hielt das Gericht 500 Euro pro Person für angemessen.

Was be­deu­tet das für die Praxis?

Das Urteil zeigt, dass selbst all­täg­li­che Pro­zes­se wie der Versand einer Steu­er­erklä­rung er­heb­li­che Da­ten­schutz­ri­si­ken bergen können. Be­son­ders kri­tisch wird es, wenn sen­si­ble Daten – etwa Ge­sund­heits­in­for­ma­tio­nen oder de­tail­lier­te fi­nan­zi­el­le Angaben – in falsche Hände geraten.

Für  Ver­ant­wort­li­che ergeben sich daraus klare Handlungserfordernisse:

  • Ak­tua­li­tät der Daten si­cher­stel­len: Än­de­run­gen von Stamm­da­ten wie Adres­sen oder Kon­takt­da­ten müssen un­ver­züg­lich und sys­tem­weit um­ge­setzt werden.

  • Sys­tem­prü­fung: Tech­ni­sche Systeme sollten so kon­fi­gu­riert sein, dass ver­al­te­te Daten nicht au­to­ma­tisch ein­ge­le­sen oder ver­wen­det werden können.

  • Do­ku­men­ta­ti­on: Jede Da­ten­än­de­rung sollte nach­voll­zieh­bar do­ku­men­tiert werden, um die Re­chen­schafts­pflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen.

  • Mit­ar­bei­ter­schu­lung: Alle Mit­ar­bei­ten­den sollten re­gel­mä­ßig für den Grund­satz der Da­ten­rich­tig­keit sen­si­bi­li­siert werden.

  • Qua­li­täts­kon­trol­le: Vor dem Versand sen­si­bler Un­ter­la­gen emp­fiehlt sich eine kurze Prüfung, ob die Adress­da­ten korrekt sind.

Fazit

Der Fall ver­deut­licht: Da­ten­schutz­ver­stö­ße ent­ste­hen nicht nur durch Ha­cker­an­grif­fe oder feh­len­de Ver­schlüs­se­lung, sondern auch durch schein­bar kleine or­ga­ni­sa­to­ri­sche Ver­säum­nis­se. Wer Adress­än­de­run­gen nicht kon­se­quent umsetzt, ris­kiert Scha­dens­er­satz­for­de­run­gen und Imageschäden.

Eine sorg­fäl­ti­ge Pflege der Man­dan­ten­da­ten schützt daher nicht nur vor recht­li­chen Kon­se­quen­zen, sondern ist auch ein we­sent­li­cher Beitrag zum Ver­trau­ens­ver­hält­nis zwi­schen dem Ver­ant­wort­li­chen (Kanzlei) und Kunden (Man­dan­ten).

2025-09, (c) AdOrga Solutions GmbH

 

Sie haben Fragen zur Um­set­zung in Ihrem Un­ter­neh­men oder suchen pra­xis­na­he Un­ter­stüt­zung im Daten­schutz und Com­­pli­­an­ce-Ma­­na­ge­­ment? Wir stehen Ihnen mit Er­fah­rung und Ex­per­ti­se zur Seite – spre­chen Sie uns gerne an: consulting@AdOrgaSolutions.de

Unsere Leis­tun­gen: https://www.adorgasolutions.de/datenschutz/leistungen/ 

Related Posts

Dritt­land­über­tra­gung – Recht­li­che Grund­la­gen und prak­ti­sche Maßnahmen

Dritt­land­über­tra­gung – Recht­li­che Grund­la­gen und prak­ti­sche Maßnahmen

25. Sep­tem­ber 2025
BEM und Dis­kri­mi­nie­rung: Kein Au­to­ma­tis­mus nach dem AGG

BEM und Dis­kri­mi­nie­rung: Kein Au­to­ma­tis­mus nach dem AGG

17. Sep­tem­ber 2025
BEM: Rolle von Schwer­be­hin­der­ten­ver­tre­tung, Be­triebs­rat und Be­triebs­arzt und DSB

BEM: Rolle von Schwer­be­hin­der­ten­ver­tre­tung, Be­triebs­rat und Be­triebs­arzt und DSB

9. Sep­tem­ber 2025

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!