Datenschutzverstöße einer Finanzbehörde – und die Schadensersatzklage

Die (finanzgerichtliche) Klage auf Schadenersatz nach Art. 82 der Datenschutz-Grundverordnung ist unzulässig, wenn es an einer vorherigen Ablehnung des Anspruchs seitens der Finanzbehörde und damit an einer für die Klageerhebung notwendigen Beschwer fehlt.

Datenschutzverstöße einer Finanzbehörde – und die Schadensersatzklage

In dem hier vom Bundesfinanzhof entschiedenen Streitfall hatte das Finanzamt nach Ansicht der Steuerpflichtigen Vorgaben des Datenschutzes verstoßen. Die Steuerpflichtige machte daher unmittelbar beim Finanzgericht einen Anspruch auf Schadenersatz nach Art. 82 der Datenschutz-Grundverordnung (DSGVO) geltend. Das Finanzgericht Berlin-Brandenburg wies die Klage ab1; ein Schaden der Steuerpflichtigen sei nicht erkennbar, sodass ein Anspruch auf Schadenersatz ausscheide.

Der Bundesfinanzhof hat im Ergebnis, wenn auch mit anderer Begründung, die Entscheidung des Finanzgerichts bestätigt und die Revision der Steuerpflichtigen zurückgewiesen:d Nach Ansicht des Bundesfinanzhofs setzt die gerichtliche Geltendmachung eines Anspruchs auf Schadensersatz nach Art. 82 DSGVO voraus, dass dieser zuvor bei dem für die Datenverarbeitung verantwortlichen Finanzamt geltend gemacht wird. Denn fehlt es an einer vorherigen Ablehnung des Anspruchs seitens der Finanzbehörde, mangelt es an der für eine Klageerhebung notwendigen Beschwer des Steuerpflichtigen. Eine ohne vorherige Ablehnung erhobene Klage ist daher unzulässig. Vielmehr muss dem Finanzamt zuvor außergerichtlich die Gelegenheit gegeben werden, den Anspruch auf Schadenersatz zu prüfen und über ihn zu entscheiden. Auch in einem bereits anhängigen Gerichtsverfahren, in dem es um Verstöße gegen datenschutzrechtliche Regelungen geht, kann das bisherige Vorbringen damit nicht einfach um ein Schadenersatzbegehren erweitert werden. In diesem Fall liegt eine unzulässige Klageerweiterung vor.

Die von der Klägerin in der mündlichen Verhandlung erklärte Änderung des Klagegegenstands war nicht sachdienlich und damit unzulässig. Bei der Geltendmachung des Schadenersatzanspruchs im Verfahren 16 K 16034/22 handelt es sich um eine Klageänderung in der Form einer objektiven Klagehäufung, also um eine Änderung des Streitgegenstands während der Rechtshängigkeit2. Denn vor der mündlichen Verhandlung vom 09.03.2023 hatte sich die Klägerin in keiner Weise zu einem Schadenersatzanspruch verhalten.

Eine Klageänderung gemäß § 67 Abs. 1 Halbsatz 1 FGO ist nur zulässig, wenn nicht nur für das ursprüngliche, sondern auch für das geänderte Klagebegehren die allgemeinen Sachurteilsvoraussetzungen erfüllt sind. Das Vorliegen der Sachurteilsvoraussetzungen steht nicht zur Disposition der Beteiligten, es kommt also nicht allein darauf an, ob das Finanzgericht die Klageänderung für sachdienlich hält oder der Beklagte zustimmt3. Durch eine Klageänderung dürfen die Sachurteilsvoraussetzungen nicht unterlaufen werden4.

Das Vorliegen der Sachurteilsvoraussetzungen hat der Bundesfinanzhof als Revisionsgericht in jeder Lage des Verfahrens von Amts wegen zu prüfen5. Er kann dazu eigene Feststellungen treffen6.

Die Beschwer nach § 40 Abs. 2 FGO muss als Sachurteilsvoraussetzung schon zum Zeitpunkt der Klageerhebung gegeben sein und kann nicht durch eine nachträgliche Korrektur des Begehrens während der Instanz bis zum Abschluss der mündlichen Verhandlung geschaffen werden7.

§ 40 Abs. 2 FGO macht im Fall der Anfechtungs, Verpflichtungs- und allgemeinen Leistungsklage die Zulässigkeit der Klage ausdrücklich davon abhängig, dass der Kläger die Verletzung eigener Rechte geltend macht8. Die in § 40 Abs. 2 FGO benannte Ablehnung durch die Behörde setzt zwingend voraus, dass der Erlass eines Verwaltungsakts oder die bestimmte Handlung der Behörde vorher beantragt wurde9. Vor diesem Hintergrund kann dahinstehen, ob es sich im Fall der Geltendmachung des Schadenersatzanspruchs nach Art. 82 DSGVO um eine Leistungsklage10 handelt.

Der Bundesfinanzhof hat bereits entschieden, dass eine auf Auskunftserteilung gemäß Art. 15 Abs. 1 DSGVO gerichtete Klage mangels Beschwer grundsätzlich unzulässig ist, wenn es an einem dem Klageverfahren vorausgehenden außergerichtlich gestellten Antrag auf Auskunftserteilung fehlt11. Diese Grundsätze gelten entsprechend und ungeachtet der Klageart für die Geltendmachung eines Schadenersatzanspruchs nach Art. 82 DSGVO.

Aus der Datenschutz-Grundverordnung ergibt sich nichts Abweichendes.

Die nationalen Verfahrensvorschriften bestimmen, wie die von der Datenschutz-Grundverordnung vorgesehenen Rechtsbehelfe durchzuführen sind12. Das gilt auch, soweit der Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenen Rechte gewährleistet werden soll13. Zu beachten ist allerdings, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sein dürfen als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und dass sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz)14. Danach ist es zwar grundsätzlich Sache des nationalen Rechts, die Klagebefugnis und das Rechtsschutzinteresse des Einzelnen zu bestimmen; doch verlangt das Unionsrecht (Art. 47 der Charta der Grundrechte der Europäischen Union), dass die nationalen Rechtsvorschriften das Recht auf einen effektiven gerichtlichen Rechtsschutz nicht beeinträchtigen15.

Art. 82 DSGVO enthält in seinem Abs. 6 Regelungen zur gerichtlichen Geltendmachung des Schadenersatzes. Danach sind mit den Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz die Gerichte zu befassen, die nach den in Art. 79 Abs. 2 DSGVO genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. Die Regelungen in Art. 79 Abs. 2 DSGVO betreffen allerdings lediglich die Zuständigkeit, indem sie dem Betroffenen grundsätzlich ein Wahlrecht einräumen, vor welchem Gericht er seine Ansprüche gegen den Verantwortlichen oder Auftragsverarbeiter geltend machen will, dem der Niederlassung des Verantwortlichen oder Auftragsverarbeiters oder dem des Ortes seines gewöhnlichen Aufenthalts.

Dies folgt auch aus den Regelungen in Art. 82 Abs. 1 und Abs. 3 DSGVO.

Der immaterielle Schadenersatzanspruch kann auch durch eine Entschuldigung erfüllt werden. Die Form des Schadenersatzes hängt von den Umständen des Einzelfalls ab16, weshalb die Entscheidung über die Art der Schadenersatzleistung primär dem Verantwortlichen als Verursacher des Schadens obliegt.

Der Verantwortliche wird nach Art. 82 Abs. 3 DSGVO von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Es macht prozessökonomisch Sinn, dass der Verantwortliche seine Einwände zu einem frühen Zeitpunkt geltend macht, um dem Betroffenen die Einschätzung seines gerichtlichen Risikos zu ermöglichen. Schließlich überprüfen die Finanzgerichte die Entscheidung der Behörde. Hierzu ist der tatsächliche Vortrag der Behörde notwendig.

Art. 79 DSGVO schließt das Erfordernis der Beschwer nicht aus. Nach Art. 79 DSGVO besteht das Recht auf gerichtlichen Rechtsbehelf unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs. Das bedeutet, dass der gerichtliche Rechtsbehelf nicht durch anderweitige Rechtsbehelfe beschränkt werden darf. Art. 79 DSGVO spricht von einem verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelf, mithin von einem Vorverfahren nach § 44 Abs. 1 FGO. Die Geltendmachung des Schadenersatzanspruchs und die Befassung der Finanzbehörde mit diesem Begehren stellt kein Vorverfahren dar, denn es handelt sich gerade nicht um das Einspruchsverfahren nach § 347 Abs. 1 Satz 1 Nr. 1 i.V.m. Abs. 2 AO.

Was den Äquivalenzgrundsatz betrifft, bestehen keine Zweifel an der Vereinbarkeit des § 40 Abs. 2 FGO mit diesem Grundsatz. Denn eine Differenzierung nach innerstaatlichen und unionsrechtlichen Sachverhalten erfolgt nicht. In diesem Zusammenhang kommt es nicht auf die Unterschiede in verschiedenen Verfahrensordnungen des deutschen Rechts an.

Was den Effektivitätsgrundsatz betrifft, ist ausgeschlossen, dass die vorherige Befassung des Verantwortlichen mit dem Schadenersatzbegehren des Betroffenen die Ausübung der durch das Unionsrecht und insbesondere durch die Datenschutz-Grundverordnung verliehenen Rechte praktisch unmöglich macht oder übermäßig erschwert. Denn dem Betroffenen steht gegen die Entscheidung des Verantwortlichen der Rechtsweg zu den Finanzgerichten offen. Von einem Verstoß gegen das „Gebot eines zügigen und wirksamen Rechtsschutzes“ und einer „faktischen Entwertung“ kann deshalb keine Rede sein.

Das Erfordernis der vorherigen Befassung durch eine Behörde findet sich auch in anderen datenschutzrechtlich geprägten Zusammenhängen.

So hat das Bundesverwaltungsgericht (BVerwG) für den Löschungsanspruch nach Art. 17 DSGVO entschieden, dass eine Klage auf Löschung unzulässig ist, wenn es an einem entsprechenden vorherigen Antrag bei der Behörde fehlt17. Dies gilt unabhängig davon, ob für den Löschungsantrag die Verpflichtungsklage oder die allgemeine Leistungsklage statthaft ist. Das Erfordernis der behördlichen Vorbefassung hat für beide Klagearten Geltung.

Dem steht nicht entgegen, dass nach Auffassung des BSG der Schadenersatzanspruch nach Art. 82 DSGVO vorprozessual nicht gegenüber der Behörde geltend gemacht werden muss18. Eine Verwaltungsentscheidung vor Klageerhebung sei weder nach der Datenschutz-Grundverordnung noch nach nationalem Recht vorgesehen. Dem Interesse des Verantwortlichen, im Fall der unmittelbaren Klageerhebung durch Gerichtskosten nicht belastet zu werden, könne danach durch ein sofortiges Anerkenntnis der Behörde (§ 197a Abs. 1 SGG i.V.m. § 156 VwGO) Rechnung getragen werden.

Diese Entscheidung ist auf den vorliegenden Fall nicht übertragbar, weil sich die jeweiligen Verfahrensordnungen erheblich unterscheiden. Denn § 54 Abs. 5 SGG sieht für die allgemeine Leistungsklage -anders als § 40 Abs. 2 FGO- keine vorherige Ablehnung der Leistung durch die Behörde vor. Diese unterschiedliche Behandlung, welche im Übrigen auch bei Schadenersatzklagen gegen private Verantwortliche gegeben sein kann, widerspricht nicht dem allgemeinen Gleichheitssatz (Art. 3 Abs. 1 GG). Der Gesetzgeber kann zulässigerweise verschiedene Verfahrensordnungen unterschiedlich ausgestalten. Anhaltspunkte für einen Verstoß gegen die Rechtsweggarantie (Art.19 Abs. 4 GG) liegen darin nicht.

Im Streitfall fehlt die vorprozessuale Geltendmachung des Schadenersatzanspruchs. Auch nach einem entsprechenden Hinweis des Senatsvorsitzenden vom 04.06.2025 hat die Klägerin nicht vorgetragen, dass und wann sie sich wegen des Schadenersatzes an das Finanzamt gewandt hatte.

Zwar kann es nach der Rechtsprechung des BVerwG aus prozessökonomischen Gründen angezeigt sein, auf das Erfordernis des vorherigen Antrags bei der Behörde zu verzichten, wenn das Beharren auf einer Vorbefassung der Verwaltung als bloße Förmelei erscheint, weil die Behörde klar und eindeutig zu erkennen gegeben hat, dass sie einen solchen Antrag definitiv ablehnen wird19.

So liegt der Fall hier jedoch nicht. Der Bundesfinanzhof kann dahinstehen lassen, ob unter Anwendung dieser Grundsätze eine konkludente Ablehnung -wie sie die Klägerin behauptet- ausreichen kann. Denn jedenfalls hat das Finanzamt den Schadenersatzanspruch bereits deshalb vorprozessual nicht konkludent abgelehnt, weil dieser Anspruch in keiner Weise angesprochen worden war. Weder außergerichtlich noch in ihrer umfangreichen Klagebegründung im erstinstanzlichen Verfahren hat sich die Klägerin zuvor dazu geäußert und ein Schadenersatzbegehren angebracht. Die Klägerin hat den Schadenersatzanspruch erstmals im Klageverfahren in der mündlichen Verhandlung vom 09.03.2023 geltend gemacht. Das Finanzamt konnte den Antrag auf Zahlung von Schadenersatz noch nicht einmal im Verfahren selbst ablehnen, da es an der mündlichen Verhandlung nicht teilgenommen hatte und bis dahin die Klägerin keinen Schadenersatz geltend gemacht hatte. Bis jetzt hat sich das Finanzamt nicht zu dem Schadenersatzbegehren der Klägerin geäußert und in keiner Weise eindeutig zu erkennen gegeben, wie es über einen Schadenersatzanspruch entscheiden werde, zum Beispiel ob es die Forderung anerkennt und die Klägerin klaglos stellt.

Selbst wenn ein Auskunftsanspruch nach Art. 15 DSGVO rechtswidrig abgelehnt worden wäre, läge darin keine konkludente Ablehnung eines Schadenersatzanspruchs. Das ursprüngliche Klagebegehren der Klägerin bezog sich auf diverse Rechtsverstöße anlässlich der Außenprüfung sowie die vermeintliche Weitergabe der Mobilfunknummer des Z an die oberste Landesfinanzbehörde. Nach Ansicht der Klägerin stellte dies eine Verletzung der Datenschutz-Grundverordnung und des Steuergeheimnisses dar. Das Schadenersatzbegehren stellt demgegenüber einen vollständig neuen Streitgegenstand dar, der nur in Teilbereichen mit dem bisherigen Vorbringen im Zusammenhang steht. Insoweit bedarf die Geltendmachung von Schadenersatz nach Art. 82 DSGVO der tatrichterlichen Feststellung zahlreicher Tatbestandsmerkmale, die im Rahmen einer umfangreichen Sachaufklärung zu ermitteln sind20. Dies gilt nicht zuletzt vor dem Hintergrund, dass die Klägerin eine Vielzahl von Datenschutzverstößen in ihrem bisherigen Klagevorbringen gerügt hat.

Einer Vorlage an den Gerichtshof der Europäischen Union nach Art. 267 Abs. 3 des Vertrags über die Arbeitsweise der Europäischen Union bedurfte es nach Überzeugung des Bundesfinanzhofs im vorliegenden Verfahren nicht. Die Klage ist unzulässig und die Rechtslage ist eindeutig („acte clair“)21 beziehungsweise bereits durch die aufgezeigte Rechtsprechung des Unionsgerichtshofs in einer Weise geklärt, die keinen vernünftigen Zweifel offenlässt („acte éclairé“)22. Insbesondere hat der EuGH geklärt, dass die nationalen Verfahrensvorschriften bestimmen, wie die von der Datenschutz-Grundverordnung vorgesehenen Rechtsbehelfe durchzuführen sind23.

Bundesfinanzhof, Beschluss vom 15. September 2025 – IX R 11/23

  1. FG Berlin-Brandenburg, Urteil vom 09.03.2023 – 16 K 16034/22[]
  2. vgl. BFH, Urteil vom 27.10.1993 – I R 25/92, BFHE 172, 488, BStBl II 1994, 210, unter II. 3.[]
  3. vgl. BFH, Beschluss vom 20.07.2012 – VII R 12/10, Rz 9, sowie BFH, Urteil vom 08.04.2024 – IX R 8/24, Rz 23[]
  4. Gräber/Herbert, Finanzgerichtsordnung, 9. Aufl., § 67 Rz 18; Steinhauff in Hübschmann/Hepp/Spitaler -HHSp-, § 41 FGO Rz 587[]
  5. BFH, Urteile vom 23.01.2024 – IX R 7/22, BFHE 284, 12, BStBl II 2024, 406, Rz 17; und vom 12.11.2024 – IX R 20/22, BFHE 284, 551, Rz 23[]
  6. vgl. BFH, Urteil vom 20.12.2012 – III R 59/12, Rz 15, m.w.N.[]
  7. BFH, Urteil vom 12.11.2024 – IX R 20/22, BFHE 284, 551, Rz 23; Gräber/Teller, Finanzgerichtsordnung, 9. Aufl., § 40 Rz 76; Münch in HHSp, § 40 FGO Rz 160[]
  8. von Beckerath in Gosch, FGO § 40 Rz 25[]
  9. BFH, Urteil vom 12.11.2024 – IX R 20/22, BFHE 284, 551, Rz 25[]
  10. so ausdrücklich BSG, Urteil vom 24.09.2024 – B 7 AS 15/23 R, Rz 14; offengelassen in BFH, Beschluss vom 28.06.2022 – II B 92/21, BFHE 275, 571, BStBl II 2022, 535[]
  11. BFH, Urteil vom 12.11.2024 – IX R 20/22, BFHE 284, 551; vgl. auch BFH, Urteile vom 08.04.2025 – IX R 8/24; und vom 06.05.2025 – IX R 2/23[]
  12. vgl. EuGH, Urteil „Budapesti Elektromos M?vek“ vom 12.01.2023 – C-132/21, EU:C:2023:2, Rz 46[]
  13. EuGH, Urteile „Natsionalna agentsia za prihodite“ vom 14.12.2023 – C-340/21, EU:C:2023:986, Rz 60; und „Österreichische Post“ (Préjudice moral lié au traitement de données personnelles) vom 04.05.2023 – C-300/21, EU:C:2023:370, Rz 54[]
  14. vgl. z.B. EuGH, Urteil „Pat?r?t?ju ties?bu aizsardz?bas centrs“ vom 04.10.2024 – C-507/23, EU:C:2024:854, Rz 31 und 32, m.w.N.[]
  15. vgl. EuGH, Urteil „Deutsche Lufthansa“ vom 21.11.2019 – C-379/18, EU:C:2019:1000, Rz 60, m.w.N.[]
  16. vgl. EuGH, Urteile „Pat?r?t?ju ties?bu aizsardz?bas centrs“ vom 04.10.2024 – C-507/23, EU:C:2024:854, Rz 36, und „Quirin Privatbank“ vom 04.09.2025 – C-655/23, EU:C:2025:655, Rz 79[]
  17. vgl. BVerwG, Urteil vom 02.03.2022 – 6 C 7.20, BVerwGE 175, 76, Rz 57[]
  18. BSG, Urteil vom 24.09.2024 – B 7 AS 15/23 R, Rz 14[]
  19. vgl. BVerwG, Urteil vom 02.03.2022 – 6 C 7.20, BVerwGE 175, 76, Rz 58[]
  20. vgl. unter anderem EuGH, Urteile „Österreichische Post“ (Préjudice moral lié au traitement de données personnelles) vom 04.05.2023 – C-300/21, EU:C:2023:370; „MediaMarktSaturn“ vom 25.01.2024 – C-687/21, EU:C:2024:72; „PS“ (Adresse erronée) vom 20.06.2024 – C-590/22, EU:C:2024:536; „Pat?r?t?ju ties?bu aizsardz?bas centrs“ vom 04.10.2024 – C-507/23, EU:C:2024:854; BGH, Urteil vom 18.11.2024 – VI ZR 10/24, BGHZ 242, 180, Rz 21 ff.; Überblick bei Daum, Recht der Datenverarbeitung 2025, 10 f.[]
  21. BVerfG, Beschluss vom 04.03.2021 – 2 BvR 1161/19, Rz 55; EuGH, Urteil „Srl CILFIT und Lanificio di Gavardo SpA gegen Ministero della Sanità“ vom 06.10.1982 – C-283/81, EU:C:1982:335, Rz 16[]
  22. BVerfG, Beschluss vom 04.03.2021 – 2 BvR 1161/19, Rz 55; sowie EuGH, Urteil „Srl CILFIT und Lanificio di Gavardo SpA gegen Ministero della Sanità“ vom 06.10.1982 – C-283/81, EU:C:1982:335, Rz 14[]
  23. vgl. EuGH, Urteile „Budapesti Elektromos M?vek“ vom 12.01.2023 – C-132/21, EU:C:2023:2, Rz 46; „Österreichische Post“ ((Préjudice moral lié au traitement de données personnelles) vom 04.05.2023 – C-300/21, EU:C:2023:370, Rz 54; Natsionalna agentsia za prihodite vom 14.12.2023 – C-340/21, EU:C:2023:986, Rz 60[]

Das dürfte Sie auch interessieren: