Der Bundesfinanzhof hat sich erstmals zu den Voraussetzungen geäußert, die einen Schadenersatzanspruch gegenüber einer Finanzbehörde aufgrund von Verstößen gegen datenschutzrechtliche Regelungen betreffen.
Praxis-Beispiel:
Der Steuerpflichtige machte geltend, dass das Finanzamt gegen Vorgaben des Datenschutzes verstoßen habe. Er machte daher unmittelbar beim Finanzgericht einen Anspruch auf Schadenersatz nach Art. 82 der Datenschutz-Grundverordnung (DSGVO) geltend. Das Finanzgericht wies die Klage mit der Begründung ab, dass ein Schaden nicht erkennbar sei, so dass ein Anspruch auf Schadenersatz ausscheide (Finanzgericht Berlin-Brandenburg, Urteil vom 09.03.2023 – 16 K 16034/22).
Der BFH die Entscheidung des Finanzgerichts zwar bestätigt, jedoch mit einer völlig anderen Begründung. Nach dem BFH-Beschluss setzt die gerichtliche Geltendmachung eines Anspruchs auf Schadensersatz nach Art. 82 DSGVO voraus, dass dieser Anspruch zuvor bei dem Finanzamt geltend gemacht wird, das für die Datenverarbeitung verantwortlich ist. Denn es fehlt an der für eine Klageerhebung notwendigen Beschwer des Steuerpflichtigen, weil es an einer vorherigen Ablehnung des Anspruchs seitens der Finanzbehörde fehlt. Eine Klage, die ohne vorherige Ablehnung durch die Finanzbehörde erhoben wird, ist daher unzulässig.
Dem Finanzamt muss zuvor außergerichtlich die Gelegenheit gegeben werden, den Anspruch auf Schadenersatz zu prüfen und über ihn zu entscheiden. Auch in einem bereits anhängigen Gerichtsverfahren, in dem es um Verstöße gegen datenschutzrechtliche Regelungen geht, kann das bisherige Vorbringen damit nicht einfach um ein Schadenersatzbegehren erweitert werden. In diesem Fall liegt eine unzulässige Klageerweiterung vor.