1000 Euro Schadensersatz vom Finanzamt
Die deutsche Steuerverwaltung scheint eine gewisse Neigung zu mehr oder weniger passenden Akronymen zu haben. Darunter versteht man Kurzworte, die aus den Anfangsbuchstaben mehrerer anderer Wörter gebildet sind. Ein sehr bekanntes Beispiel ist ELSTER, also die „Elektronische Steuererklärung“.
ELSTER und SESAM ergänzen sich
Hätte der Kläger im vorliegenden Fall seine Steuererklärung mithilfe von ELSTER elektronisch abgegeben, wäre es nie zu der Datenpanne gekommen, um die es jetzt geht. Aber er nutzte ELSTER nicht, sondern gab seine Einkommensteuererklärung für 2022 auf einem Papierformular ab. Entsprechende Belege, beispielsweise für Krankheitskosten, haushaltsnahe Dienstleistungen und Spenden fügte er bei.
Damit kam SESAM ins Spiel. Der Kläger reichte seine Steuererklärung und seine Belege zwar bei dem zuständigen Finanzamt in Sachsen ein. Dieses Amt wollte sie aber zunächst einmal nicht bearbeiten, sondern sie vorher zur zentralen Scanstelle der sächsischen Finanzverwaltung bringen, um sie dort mit dem IT-System SESAM einscannen zu lassen. Denn kein Finanzamt gibt sich heute noch mit Papierdokumenten ab. Arbeitsgrundlage sind vielmehr Scans, die am Bildschirm aufgerufen werden.
SESAM-Mappen kommen in SESAM-Kisten
Schon aus Kostengründen schickt ein Finanzamt nicht jede Steuererklärung einzeln zur zentralen Scanstelle. Vielmehr ist es üblich, jede Steuererklärung in eine sogenannte SESAM-Mappe zu stecken. Dann werden so viele SESAM-Mappen wie möglich in eine sogenannte SESAM-Kiste gepackt, natürlich unter Beachtung des zulässigen Höchstgewichts für Pakete mit solchen Kisten.
Genau so erging es auch der Steuererklärung des Klägers. Sie landete in einer SESAM-Mappe. 15 solche Mappen, die insgesamt 35 Steuererklärungen enthielten, kamen dann gemeinsam in eine SESAM-Kiste. Offensichtlich war es also so, dass manche Steuerpflichtige mehrere Steuererklärungen auf einmal abgaben, die dann gemeinsam in eine Mappe gelegt wurden.
Bei der Versendung ging etwas schief
Bei der Versendung der SESAM-Kiste, in der sich auch die Mappe mit der Steuererklärung des Klägers befand, kam es zu einer Panne. Das Finanzamt steckte zwei SESAM-Kisten in ein Paket. Auf dieses Paket wurde aber nicht etwa ein Paketschein mit der Adresse der zentralen Scanstelle geklebt. Vielmehr griff irgendjemand daneben und klebte auf das Paket einen Paketschein mit der Anschrift irgendeines Steuerpflichtigen. Er wird in der Entscheidung des Finanzgerichts „Zeuge K.“ genannt.
Der falsche Adressat des Pakets war recht verblüfft
Herrn K. merkte rasch, dass der Inhalt dieses Pakets nicht für ihn bestimmt war. Deshalb brachte er die SESAM-Kisten aus dem Paket persönlich zur Informations- und Annahmestelle des Finanzamts und gab sie dort ab. Ob sich das Finanzamt bei ihm dafür bedankte, ist im Urteil nicht erwähnt. Immerhin betonte das Finanzamt vor Gericht, dass er ein redlicher Mensch sei. Das tat es aber nur, weil es hoffte, mit diesem Argument einen Schaden des Klägers verneinen zu können.
Die Klärung des Sachverhalts war mühsam
Herr K. sagte vor Gericht aus, dass er die beiden SESAM-Kisten im Paket offen vorgefunden habe. Der Lieferschein sei lose auf den offenen Kisten gelegen. Unklar blieb, ob das Finanzamt die Kisten von vornherein nicht ordentlich verschlossen hatte, obwohl dies vorgeschrieben ist, oder ob die Kisten – von wem auch immer – auf dem Versandweg geöffnet wurden. Jedenfalls versicherte Herr K., dass er die Steuererklärung des Klägers und auch die beigefügten Belege nicht zur Kenntnis genommen hat.
Die Finanzverwaltung nahm die Sache ernst
Der Versand von Steuerunterlagen an einen falschen Adressaten ist keine Bagatelle. Immerhin gilt für solche Unterlagen das Steuergeheimnis und wenn es verletzt wird, steht potenziell eine Straftat im Raum. Entsprechend ernst nahm das Finanzamt die Angelegenheit. Intern wurde erst einmal der Amtsleiter eingeschaltet.
Dieser meldete bereits am zweiten Tag, nachdem Herr K. die SESAM-Kisten zurückgebracht hatte, eine Datenschutzverletzung nach Art. 33 und Art. 34 der Datenschutz-Grundverordnung (DSGVO) an den zuständigen behördlichen Datenschutzbeauftragten. Der ist beim Sächsischen Landesamt für Steuern und Finanzen angesiedelt. Der Datenschutzbeauftragte erstattete noch am selben Tag Meldung beim Bundesbeauftragten für den Datenschutz.
Ebenfalls noch am selben Tag informierte der Amtsleiter den späteren Kläger über den Vorfall. Dabei wies er darauf hin, dass es möglicherweise zu einer Offenlegung von personenbezogenen Daten des Klägers gegenüber einer unberechtigten Person gekommen sei.
Der Kläger verlangt Schadensersatz
Der spätere Kläger schaltete einen Anwalt ein. Der argumentierte, es gehe immerhin die Offenlegung von Sozialdaten, etwa zu Krankengeld. Ferner seien aus Spenden des Klägers Rückschlüsse auf dessen politische Gesinnung möglich. Außerdem könne man aus den Unterlagen beispielsweise das Gehalt des Klägers ersehen. Der Kontrollverlust über diese Daten rechtfertige einen Schadensersatz in Höhe von 2500 €. Für den Fall, dass eine außergerichtliche Einigung möglich wäre, wollte sich der Kläger aber mit einem Schadensersatz in Höhe von 1200 € zufriedengeben. Dazu kommen sollten noch seine Kosten für die Einschaltung des Rechtsanwalts.
Das schien dem Finanzamt wohl zu viel. Jedenfalls wollte es nicht zahlen. So kam die Sache schließlich vor Gericht.
Das Gericht bejaht einen Anspruch
Nach Auffassung des Gerichts liegt der vom Kläger behauptete Kontrollverlust über seine Daten vor. Es stehe fest, dass nicht nur der Zeuge K., sondern auch dessen Familienangehörige sowie nicht näher bekannte Postbeschäftigte Gelegenheit hatten, diese Daten zur Kenntnis zu nehmen. Das Risiko einer missbräuchlichen Verwendung der Daten sei deshalb nicht rein hypothetisch, sondern konkret.
Daher bejaht das Gericht einen Schadensersatzanspruch gemäß Art. 82 DSGVO. Nach seiner Ansicht liegt eine Verletzung von Art. 5 Abs.1 Buchstabe f DSGVO vor, also eine Verletzung der Integrität und Vertraulichkeit personenbezogener Daten. Das habe zu einem Kontrollverlust geführt, der als Schaden anzusehen ist.
Der Kläger erhält 1000 Euro plus 250,50 Euro
Was den konkreten Schadensersatz angeht, unterscheidet das Gericht genau zwischen dem materiellen und dem immateriellen Schaden, den der Kläger erlitten hat.
Den Kontrollverlust des Klägers über die eigenen Daten wertet das Gericht als immateriellen Schaden, also als einen Schaden, den man nicht direkt in Geld messen kann. Die übliche Bezeichnung für den Ersatz eines solchen Schadens ist Schmerzensgeld, doch verwendet die DSGVO diesen Begriff nicht. Als Ausgleich für den Kontrollverlust hält das Gericht 1000 € für angemessen. Dieser Betrag liegt recht nahe an den 1200 €, die der Kläger vom Finanzamt noch vor dem Prozess gefordert hatte.
Als materieller Schaden kommen hinzu die Kosten des Klägers für die Einschaltung des Rechtsanwalts. Sie ergeben sich auf der Basis der erwähnten 1000 € als „Streitwert“ aus der gesetzlichen Gebührentabelle für Rechtsanwälte. Sie sieht bei diesem Streitwert 250,50 € vor.
Die Gerichtskosten hat das Finanzamt zu tragen
Selbstverständlich stellt das Gericht für seine Tätigkeit Gerichtskosten in Rechnung. Diese Kosten muss das Finanzamt zusätzlich tragen. Ihre Höhe ist im Urteil nicht genannt. Sie werden dem Finanzamt später gesondert in einem Kostenbescheid präsentiert.
Der Fall ist generell sehr lehrreich
Vordergründig geht es bei diesem Fall um eine besondere Situation in einem Finanzamt. Doch auch Unternehmen vertrauen oft genug auf externe Scan-Dienstleister. Was beim Versand von Papierunterlagen zwischen dem Unternehmen und dem Dienstleister alles schief gehen kann, wird oft genug unterschätzt. Der Fall sollte deshalb Anlass sein, die entsprechenden Abläufe zu überprüfen und Schwachstellen zu beheben.
Hier ist das Urteil zu finden
Das Urteil des Finanzgerichts Leipzig vom 4.2.2026 ist bei Eingabe des Aktenzeichens 8 K 793/24 im Internet leicht zu finden und hier auch direkt abzurufen: https://www.juris.de/static/infodienst/autoren/D_NJRE001635648.htm.
