Mit Beschluss vom 15.09.2025 – IX R 11/23 hat sich der Bundesfinanzhof (BFH) erstmals zu den Voraussetzungen geäußert, die einen Schadenersatzanspruch gegenüber einer Finanzbehörde aufgrund von Verstößen gegen datenschutzrechtliche Regelungen betreffen.
Im Streitfall hatte nach Ansicht der Steuerpflichtigen das Finanzamt (FA) gegen Vorgaben des Datenschutzes verstoßen.
Die Steuerpflichtige machte daher unmittelbar beim Finanzgericht (FG) einen Anspruch auf Schadenersatz nach Art. 82 der Datenschutz-Grundverordnung (DSGVO) geltend. Das FG wies die Klage ab (FG Berlin-Brandenburg, Urteil vom 09.03.2023 – 16 K 16034/22).
Ein Schaden der Steuerpflichtigen sei nicht erkennbar, so dass ein Anspruch auf Schadenersatz ausscheide.
Der BFH hat im Ergebnis, wenn auch mit anderer Begründung, die Entscheidung des FG bestätigt.
Nach Ansicht des BFH setzt die gerichtliche Geltendmachung eines Anspruchs auf Schadensersatz nach Art. 82 DSGVO voraus, dass dieser zuvor bei dem für die Datenverarbeitung verantwortlichen FA geltend gemacht wird.
Denn fehlt es an einer vorherigen Ablehnung des Anspruchs seitens der Finanzbehörde, mangelt es an der für eine Klageerhebung notwendigen Beschwer des Steuerpflichtigen.
Eine ohne vorherige Ablehnung erhobene Klage ist daher unzulässig.
Vielmehr muss dem FA zuvor außergerichtlich die Gelegenheit gegeben werden, den Anspruch auf Schadenersatz zu prüfen und über ihn zu entscheiden.
Auch in einem bereits anhängigen Gerichtsverfahren, in dem es um Verstöße gegen datenschutzrechtliche Regelungen geht, kann das bisherige Vorbringen damit nicht einfach um ein Schadenersatzbegehren erweitert werden. In diesem Fall liegt eine unzulässige Klageerweiterung vor.
Beschluss vom 15.09.2025 - Az.: IX R 11/23
Quelle: Pressemitteilung des BFH v. 18.12.2025