DSGVO-Schadensersatz wegen veralteter Adresse: Steuerberater haftet für falsche Datenweitergabe
Das Amtsgericht Wesel (Urteil vom 23.07.2025, Az. 30 C 138/21) befasste sich mit einem Datenschutzverstoß in einer Steuerkanzlei. Zwei Mandanten hatten ihre neue Anschrift mehrfach mitgeteilt, dennoch versandte die Kanzlei ihre Steuererklärung an die alte Adresse. Die neuen Bewohner öffneten den Brief – und erhielten so Einblick in hochsensible Daten. Die Betroffenen fühlten sich bloßgestellt und klagten auf Schmerzensgeld nach Art. 82 DSGVO.
Was wurde entschieden?
Das Gericht sprach den Klägern jeweils 500 Euro immateriellen Schadensersatz zu. Die Steuerkanzlei habe gegen Art. 5 Abs. 1 lit. d DSGVO („Richtigkeit der Daten“) verstoßen, weil sie die alte Anschrift nicht vollständig gelöscht habe. Dass die Adresse automatisch vom Steuerprogramm übernommen wurde, entlaste die Kanzlei nicht – sie müsse sicherstellen, dass veraltete Daten gar nicht mehr im System hinterlegt sind.
Wichtig ist auch die Begründung: Schon der Verlust der Kontrolle über personenbezogene Daten – also die Tatsache, dass ein Schreiben an die falsche Person gelangt – kann laut Gericht einen immateriellen Schaden darstellen. Es komme nicht darauf an, ob tatsächlich jemand die Daten gelesen oder weiterverbreitet habe.
Bedeutung für Steuerberater und Unternehmen
Das Urteil verdeutlicht, dass Datenrichtigkeit nicht nur eine Formalie ist. Alte Adressen, Telefonnummern oder E-Mail-Kontakte müssen konsequent aktualisiert oder gelöscht werden, sobald neue Daten vorliegen. Eine automatische Datenübernahme ohne Prüfung kann zum Verstoß führen – auch bei unabsichtlichen Fehlern. Der Schadensersatz mag gering erscheinen, doch der Fall zeigt: Verantwortliche haften bereits für den Kontrollverlust, nicht erst bei konkretem Missbrauch.
So reagieren Kanzleien und Unternehmen richtig
-
Adressänderungen sofort umsetzen: Neue Kontaktdaten müssen in allen Systemen zeitnah aktualisiert werden.
-
Automatische Vorbelegung prüfen: Bei Softwaretools sollte geprüft werden, ob alte Daten automatisch übernommen werden.
-
Verfahrensanweisungen festlegen: Wer ist verantwortlich, Änderungen zu pflegen und zu kontrollieren?
-
Datenschutzschulungen anbieten: Mitarbeitende sollten die Folgen veralteter Daten kennen – auch im Hinblick auf Art. 5 DSGVO.
-
Dokumentation pflegen: Jede Änderung von Stammdaten sollte nachvollziehbar dokumentiert sein.
Unsere Empfehlung
Auch kleine Versäumnisse können Datenschutzverstöße auslösen. Unternehmen sollten regelmäßig prüfen, ob ihre Kundendaten aktuell sind und Systeme keine Altadressen automatisch einfügen.
Wer personenbezogene Daten verarbeitet, trägt Verantwortung – auch für technische Details.
Quellenangabe: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Sind Sie sich sicher, ob Ihr Unternehmen oder Ihre Einrichtung im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks