BFH, Beschluss vom 15.09.2025 – IX R 11/23
Datenschutzverstöße durch Behörden werfen regelmäßig die Frage auf, wie Betroffene ihre Rechte effektiv durchsetzen können. Besonders naheliegend erscheint dabei der Griff zur Schadensersatzklage nach Art. 82 DSGVO. Der Bundesfinanzhof hat mit Beschluss vom 15. September 2025 jedoch klargestellt, dass dieser Weg nicht immer sofort offensteht. Wer Schadensersatz wegen eines Datenschutzverstoßes durch ein Finanzamt verlangt, muss zuvor zwingend ein außergerichtliches Vorgehen einhalten.
Sachverhalt
Der Entscheidung lag der Fall einer Steuerpflichtigen zugrunde, die dem Finanzamt einen Datenschutzverstoß vorwarf. Konkret hatte das Finanzamt die Telefonnummer ihres angestellten Ehemanns an die zuständige Senatsverwaltung für Finanzen weitergegeben. Die Klägerin sah hierin eine unzulässige Verarbeitung personenbezogener Daten und machte immateriellen Schadensersatz nach Art. 82 DSGVO geltend.
Anstatt den Anspruch zunächst gegenüber dem Finanzamt selbst geltend zu machen, erhob sie unmittelbar Klage beim Finanzgericht. Dieses wies die Klage ab, weil es bereits an einem nachweisbaren Schaden fehle.
Die Entscheidung des BFH
Der Bundesfinanzhof bestätigte das Ergebnis, stützte die Entscheidung jedoch auf eine andere Begründung. Nach Auffassung des BFH war die Klage bereits unzulässig. Es fehle an der erforderlichen Beschwer, da das Finanzamt über den geltend gemachten Schadensersatzanspruch zuvor nicht entschieden hatte.
Der BFH stellte klar, dass eine Schadensersatzklage nach Art. 82 DSGVO gegen eine Finanzbehörde grundsätzlich erst dann zulässig ist, wenn der Anspruch zuvor bei der Behörde geltend gemacht und von dieser abgelehnt wurde. Der Behörde müsse die Möglichkeit gegeben werden, den Anspruch außergerichtlich zu prüfen und gegebenenfalls abzuhelfen.
Eine unmittelbare gerichtliche Geltendmachung ohne vorherige Ablehnung verletze dieses Verfahrensprinzip und sei daher unzulässig.
Keine „Abkürzung“ über laufende Verfahren
Besonders praxisrelevant ist der weitere Hinweis des BFH, dass ein bereits anhängiges Gerichtsverfahren wegen eines Datenschutzverstoßes nicht ohne Weiteres um ein Schadensersatzbegehren erweitert werden kann. Eine solche Klageerweiterung sei ebenfalls unzulässig, wenn der Schadensersatzanspruch zuvor nicht gegenüber der Behörde geltend gemacht worden ist.
Damit zieht der BFH klare Grenzen für taktische Prozessgestaltungen im Datenschutzrecht.
Rechtliche Einordnung
Die Entscheidung betrifft weniger die materiellen Voraussetzungen des Schadensersatzanspruchs nach Art. 82 DSGVO als vielmehr dessen prozessuale Durchsetzung. Der BFH überträgt hier verwaltungs- und finanzprozessuale Grundsätze auf datenschutzrechtliche Schadensersatzansprüche gegen Behörden.
Im Kern geht es um das Erfordernis der vorherigen Anspruchsgeltendmachung, das der Entlastung der Gerichte dient und der Verwaltung die Möglichkeit zur Selbstkorrektur gibt. Der Beschluss verdeutlicht, dass die DSGVO die nationalen Prozessvoraussetzungen nicht vollständig verdrängt.
Bedeutung für Praxis und Studium
Für die Praxis bedeutet die Entscheidung erhöhte Sorgfalt bei der Durchsetzung datenschutzrechtlicher Ansprüche gegen Behörden. Wer Schadensersatz verlangt, muss zunächst den außergerichtlichen Weg beschreiten. Andernfalls droht die Klage bereits an der Zulässigkeit zu scheitern.
Für Studierende ist der Fall examensrelevant, weil er die Schnittstelle zwischen Datenschutzrecht, Verwaltungs- und Finanzprozessrecht aufzeigt. Besonders prüfungsgeeignet sind Fragen zur Zulässigkeit der Klage, zur Beschwer sowie zur Rolle von Art. 82 DSGVO im nationalen Verfahrensrecht.
Fazit
Der BFH macht deutlich: Auch bei Datenschutzverstößen gilt kein „Direktzugang“ zu den Gerichten. Eine Schadensersatzklage nach Art. 82 DSGVO gegen das Finanzamt ist nur zulässig, wenn der Anspruch zuvor bei der Behörde geltend gemacht und abgelehnt wurde. Die Entscheidung stärkt die prozessuale Ordnung und setzt klare Leitplanken für die gerichtliche Durchsetzung datenschutzrechtlicher Ansprüche.
