BFH: Rechtsweg für Schadenersatz nach der DSGVO

Für die Geltendmachung von Schadenersatzansprüchen gegen Finanzbehörden wegen behaupteter Verstöße gegen die DSGVO ist der Finanzrechtsweg gege­ben.

DSGVO Art. 4 Nr. 2, Nr. 7, Art. 79, Art. 82
AO § 32i Abs. 2
FGO § 33 Abs. 1 Nr. 1, Nr. 4, § 135
GVG § 17a
VwGO § 40 Abs. 2

BFH-Beschluss vom 28.06.2022, II B 92/21 (veröffentlicht am 21.7.2022)

Vorinstanz: FG Berlin-Brandenburg vom 27.10.2021, 16 K 16155/21 = SIS 21 20 39

I. Der Kläger und Beschwerdeführer zu 1. (Kläger) machte mit seiner Klage beim Finanzgericht (FG) unter Berufung auf die Datenschutz-Grundverordnung (DSGVO) verschiedene datenschutzrechtliche Ansprüche gegen den Beklagten und Beschwerdeführer zu 2. (Finanzamt ‑‑FA‑‑) geltend, darunter einen Scha­denersatzanspruch nach Art. 82 DSGVO.

Nach Anhörung beider Beteiligter hat das FG das Verfahren betreffend Scha­denersatz abgetrennt, den Finanzrechtsweg für unzulässig erklärt und das Ver­fahren unter Zulassung der Beschwerde nach § 17a Abs. 1 des Gerichtsverfas­sungsgesetzes (GVG) an das örtliche Landgericht verwiesen. Der Finanzrechts­weg sei nicht nach § 33 Abs. 1 Nr. 1 der Finanzgerichtsordnung (FGO) gege­ben, da das Schadenersatzbegehren keine Abgabenangelegenheit sei, viel­mehr nach der ausdrücklichen Zuständigkeitsregelung des § 40 Abs. 2 der Verwaltungsgerichtsordnung (VwGO) der Rechtsweg zu den ordentlichen Ge­richten, d.h. den Zivilgerichten, gegeben sei. Etwas anderes folge auch nicht aus § 33 Abs. 1 Nr. 4 FGO i.V.m. § 32i Abs. 2 der Abgabenordnung (AO). Letz­tere Vorschrift beschränke sich auf (öffentlich-rechtliche) Klagen betroffener Personen gegen Finanzbehörden hinsichtlich der Verarbeitung personenbezo­gener Daten wegen eines Verstoßes gegen datenschutzrechtliche Bestimmun­gen. Selbst wenn sie dem Wortlaut nach auch Schadenersatzansprüche wegen Verletzung der DSGVO meinte, wäre sie verfassungskonform (Art. 34 Satz 3 des Grundgesetzes ‑‑GG‑‑) dahingehend auszulegen, dass sie Schadenersatz­ansprüche gegen den Staat wegen Verletzung der DSGVO nicht erfasse. Die Verfassung nehme die Rechtswegspaltung in Kauf. Art. 82 Abs. 6 DSGVO i.V.m. Art. 79 Abs. 2 DSGVO stehe nicht einer innerstaatlichen Rechtswegspal­tung entgegen, sondern regele nur die internationale Zuständigkeit. Der Be­schluss ist in Entscheidungen der Finanzgerichte 2022, 123 veröffentlicht.

Beide Beteiligte haben Beschwerde eingelegt, denen das FG nicht abgeholfen hat. Sie vertreten übereinstimmend die Auffassung, § 32i Abs. 2 AO erfasse auch Schadenersatzansprüche.

Der Kläger trägt vor, die prozessuale Trennung etwa des Auskunftsanspruchs und des Schadenersatzanspruchs schmälere den effektiven Rechtsschutz. Er beantragt, den Finanzrechtsweg für zulässig zu erklären und dem Gerichtshof der Europäischen Union (EuGH) nach Art. 267 Abs. 2 des Vertrags über die Ar­beitsweise der Europäischen Union (AEUV) folgende Frage zur Vorabentschei­dung vorzulegen: "Ist der Art. 82 DSGVO dahin auszulegen, dass er einer na­tionalen Regelung, wie dem im Ausgangsverfahren streitigen § 32i Abs. 2 AO des deutschen Rechts nicht entgegensteht, wonach ein aus Art. 82 DSGVO er­wachsender Schadenersatz ganzheitlich vor einem Gericht der Finanzgerichts­barkeit gemeinsam mit anderen datenschutzrechtlichen Anspruchsgrundlagen geltend gemacht werden kann?"

Das FA geht davon aus, dass § 32i Abs. 2 AO in der ersten Alternative haupt­sächlich auf die Abwehr einer der DSGVO nicht entsprechenden Verarbeitung personenbezogener Daten abziele, aber auch Schadenersatzansprüche nach Art. 82 DSGVO erfassen könne. Eine verfassungskonforme Auslegung, die die Schadenersatzansprüche gegen den Staat dem Zivilrechtsweg zuweise, sei nicht geboten, da die Gesamtzuständigkeit der Finanzgerichte den Rechts­schutz des Betroffenen vereinfache und abweichende Entscheidungen von Finanz- und Zivilgerichten verhindere.

II. Die nach § 17a Abs. 4 Satz 4 GVG zulässigen Beschwerden sind begründet. Für die Klage gegen das FA, mit der Schadenersatzansprüche nach Art. 82 DSGVO geltend gemacht werden, ist der Finanzrechtsweg gegeben (ebenso Krumm in Tipke/Kruse, § 32i AO Rz 5; so schließlich auch die in dem Schrei­ben des Bundesministeriums der Finanzen vom 13.01.2020 zum Datenschutz im Steuerverwaltungsverfahren seit dem 25. Mai 2018, BStBl I 2020, 143, Rz 106, zum Ausdruck gekommene Verwaltungsauffassung). Einer Vorlage an den EuGH bedarf es nicht.

1. Einfachgesetzlich ist der Finanzrechtsweg für den Schadenersatzanspruch aus Art. 82 DSGVO gemäß § 33 Abs. 1 Nr. 4 FGO i.V.m. § 32i Abs. 2 Satz 1 AO eröffnet.

a) Nach § 33 Abs. 1 Nr. 4 FGO ‑‑Nrn. 1 bis 3 kommen ersichtlich nicht in Be­tracht‑‑ ist in anderen als den in den Nrn. 1 bis 3 bezeichneten öffentlich-rechtlichen Streitigkeiten der Finanzrechtsweg gegeben, soweit er für diese durch Bundesgesetz oder Landesgesetz eröffnet ist. Nach § 32i Abs. 2 Satz 1 AO (vormals § 32i Abs. 2 AO) ist für Klagen der betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person der Finanzrechtsweg gegeben.

b) Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ‑‑mithin die DSGVO‑‑ ein materieller oder immateriel­ler Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verant­wortlichen oder gegen den Auftragsverarbeiter.

c) Eine Klage auf Schadenersatz nach Art. 82 Abs. 1 DSGVO ist eine Klage "hinsichtlich der Verarbeitung personenbezogener Daten ... wegen eines Ver­stoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der [DSGVO]" i.S. des § 32i Abs. 2 Satz 1 Alternative 1 AO.

aa) Die Wendungen in Art. 82 Abs. 1 DSGVO einerseits ("Verstoß gegen diese Verordnung") und in § 32i Abs. 2 Satz 1 Alternative 1 AO andererseits ("Ver­stoß gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO") sind gleichbedeutend, denn die DSGVO enthält nur datenschutz­rechtliche Bestimmungen.

bb) Die Schadenersatzklage ist auch eine Klage "hinsichtlich der Verarbeitung personenbezogener Daten ...", wie es der erste Satzteil des § 32i Abs. 2 Satz 1 Alternative 1 AO erfordert. Nach Art. 4 Nr. 2 DSGVO ist "Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff umfasst, wie die folgende beispielhafte Aufzählung verdeutlicht, jeglichen Umgang mit Daten. Ein Verstoß gegen die DSGVO, wie ihn Art. 82 DSGVO verlangt, ist deshalb ohne Verarbeitung nicht denkbar.

d) Aus § 40 Abs. 2 Satz 1 VwGO, der für Schadenersatzansprüche aus der Verletzung öffentlich-rechtlicher Pflichten, die nicht auf einem öffentlich-rechtlichen Vertrag beruhen, den ordentlichen Rechtsweg vorsieht, folgt ein­fachgesetzlich schon deshalb nichts Gegenteiliges, weil § 32i Abs. 2 AO nur als lex specialis zu dieser Vorschrift verstanden werden kann.

2. Auch aus verfassungsrechtlichen Gründen ergibt sich keine Zuständigkeit der ordentlichen Gerichte für den streitigen Schadenersatzanspruch. Es han­delt sich nicht um einen Amtshaftungsanspruch i.S. des Art. 34 Satz 1 GG.

a) Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft nach Art. 34 Satz 1 GG die Verantwortlichkeit grundsätzlich den Staat oder die Körper­schaft, in deren Dienst er steht. Art. 34 Satz 3 GG verbietet es, für Amtshaf­tungsansprüche die Zuständigkeit der allgemeinen ordentlichen Gerichte aus­zuschließen (Dagtoglou in: Kahl/Waldhoff/Walter, Bonner Kommentar zum Grundgesetz, 1. Aufl. 2021, Art. 34, Rz 359).

b) Der Anspruch aus Art. 82 Abs. 1 DSGVO ist auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung von Amtspflichten i.S. des Art. 34 Satz 1 GG, da es sich nicht um eine auf die Behörde übergeleitete Haftung des Amtsträgers, sondern um eine originäre Haftung der Behörde handelt.

aa) Die Rechtsweggarantie des Art. 34 Satz 3 GG hat, soweit sie den Anspruch gegen die Anstellungskörperschaft betrifft, allein die übergeleitete Haftung des Amtsträgers zum Gegenstand, nicht hingegen Ansprüche aus unmittelbarer Staatshaftung. Die in Art. 34 Satz 1 GG angesprochene Amtspflicht ist die Pflicht des Amtsträgers persönlich. Art. 34 GG leitet die durch § 839 des Bür­gerlichen Gesetzbuchs (BGB) begründete persönliche Haftung des Beamten auf den Staat über. § 839 BGB ist die haftungsbegründende Vorschrift, wäh­rend Art. 34 GG die haftungsverlagernde Norm darstellt. Der Staat wird durch die Übernahme der persönlichen Beamtenhaftung nach § 839 BGB zwar Haf­tungssubjekt, aber nicht Zurechnungssubjekt (Urteil des Bundesverfassungs­gerichts ‑‑BVerfG‑‑ vom 19.10.1982 ‑ 2 BvF 1/81 "Amtshaftung", BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)). Das bedeutet, dass Art. 34 Satz 3 GG neben dem Rückgriffsanspruch gegen den Amtsträger auch nur die Ansprüche des Art. 34 Satz 1 GG erfasst, namentlich den Schadenersatzan­spruch gegen den Amtsträger selbst sowie den übergeleiteten Haftungsan­spruch gegen den Staat. Art. 34 GG verbietet es zwar nicht, unmittelbare Staatshaftungsansprüche einzuführen (BVerfG-Urteil in BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)), trifft dafür aber auch keine Regelung.

bb) Der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO richtet sich gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Ein­richtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entschei­det. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Sowohl der Begriff des Verantwortlichen als auch der des Auftragsverarbeiters ist mithin institutionell zu verstehen. Soweit in ei­ner Behörde Daten verarbeitet werden, ist damit nicht der jeweilige Amtsträ­ger persönlich Verantwortlicher i.S. der DSGVO und folglich auch nicht Adres­sat des Anspruchs. Der Anspruch richtet sich vielmehr unmittelbar gegen den Staat bzw. eine seiner Institutionen. Damit handelt es sich um einen gegen­über den in Art. 34 GG erfassten Amtshaftungsansprüchen grundlegend an­ders gearteten Anspruch.

cc) Der Schadenersatzanspruch nach der DSGVO kann in Anspruchskonkur­renz neben einen Amtshaftungsanspruch aus § 839 BGB i.V.m. Art. 34 GG treten (vgl. Urteil des Oberlandesgerichts Düsseldorf vom 28.10.2021 ‑ 16 U 275/20, Monatsschrift für Deutsches Recht 2022, 435, Rz 69; BeckOK DatenschutzR/Quaas, 39. Ed. 01.11.2021, DSGVO Art. 82 Rz 8; Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundver­ordnung/Bundesdatenschutzgesetz, Stand April 2022, Art. 82, Rz 34a; Gola DSGVO/Gola/Piltz, 2. Aufl. 2018, DSGVO Art. 82 Rz 28; Paal/Pauly/Frenzel, 3. Aufl. 2021, DSGVO Art. 82 Rz 20). Davon geht die DSGVO ausweislich Er­wägungsgrund 146 Satz 4 selbst aus (vgl. Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DSGVO Art. 82 Rz 7). Das entspricht dem Grundsatz, dass auch sonst zwischen einem Amtshaftungsanspruch und einem auf demselben Tatsachen­komplex beruhenden Entschädigungsanspruch Anspruchskonkurrenz bestehen kann (so zu einem enteignungsgleichen Eingriff Urteil des Bundesgerichtshofs vom 11.01.2007 ‑ III ZR 302/05, BGHZ 170, 260, Neue Juristische Wochen­schrift 2007, 830, unter B.II.2.a; ausdrücklich für den unionsrechtlichen Staatshaftungsanspruch BeckOK GG/Grzeszick, 51. Ed. 15.05.2022, GG Art. 34 Rz 4).

Das bedeutet jedoch nicht, dass die Rechtswegzuweisung des Art. 34 Satz 3 GG sich auch auf den jeweils konkurrierenden Anspruch erstreckt. Ebenso we­nig gilt die Rechtswegzuweisung nach § 32i Abs. 2 AO für den Amtshaftungs­anspruch. Nach § 17 Abs. 2 Satz 2 GVG tritt vielmehr eine Rechtswegspaltung ein.

dd) Soweit das Hessische Landessozialgericht (LSG) in seinem Beschluss vom 26.01.2022 ‑ L 6 SF 7/21 DS (juris, Beschwerde beim Bundessozialgericht an­hängig unter B 1 SF 1/22 R) in dem Anspruch aus Art. 82 Abs. 1 DSGVO einen Amtshaftungsanspruch sieht, für den die Rechtswegzuweisung des Art. 34 Satz 3 GG der spezialgesetzlichen Zuweisung der DSGVO-Sachen zur Sozialge­richtsbarkeit gemäß § 81b Abs. 1 des Zehnten Buchs Sozialgesetzbuch, einer mit § 32i Abs. 2 Satz 1 AO weitgehend wortgleichen Vorschrift, vorgehe, teilt der Senat diese Auffassung nicht. Das Hessische LSG geht davon aus, Art. 34 Satz 3 GG umfasse (jegliche) schadenersatzrechtliche Haftungsregelungen des Staates, wenn hoheitliches Handeln eines seiner Amtswalter rechtswidrig einen kompensationsfähigen Schaden verursacht habe (Rz 23). Der Senat erachtet dieses Verständnis sowohl angesichts des Wortlauts des Art. 34 Satz 3 GG als auch angesichts des Urteils des BVerfG in BVerfGE 61, 149, BGBl I 1982, 1493 für zu weitgehend. Es ist zwar zutreffend, dass Art. 34 GG für sich genommen kein Verschuldenserfordernis kennt, worauf das Hessische LSG abstellt. Damit allein wird die Amtspflicht jedoch nicht definiert. Die vom Hessischen LSG in diesem Zusammenhang zitierten Literaturauffassungen gehen in Übereinstim­mung mit dem BVerfG davon aus, dass die Staatshaftung nach aktueller Rechtslage lediglich durch Überleitung der Eigenhaftung des Amtsträgers auf den Staat entsteht (Papier/Shirvani in Dürig/Herzog/Scholz, Komm. z. GG, Art. 34 Rz 17, 218; BeckOK GG/Grzeszick, a.a.O., Rz 19 bis 20.1).

3. Eine Vorlage des Rechtsstreits an den EuGH nach Art. 267 AEUV ist nicht veranlasst. Es ist nicht im Ansatz erkennbar, warum Art. 82 DSGVO einer na­tionalen Regelung entgegenstehen könnte, die den Schadenersatzanspruch ebenso wie andere datenschutzrechtliche Ansprüche der Finanzgerichtsbarkeit zuweist. Ob umgekehrt unionsrechtliche Bedenken bestünden und deshalb ggf. eine Vorlage angezeigt wäre, wenn das nationale Recht die allgemeinen daten­schutzrechtlichen Ansprüche einerseits und den Schadenersatzanspruch ande­rerseits unterschiedlichen Gerichten zuwiese ‑‑so wie es der Auffassung des FG, aber auch des Hessischen LSG entspricht‑‑, muss nicht mehr entschieden werden.

4. Eine Kostenentscheidung ergeht nicht. §§ 135 bis 138 FGO bieten bei er­folgreicher Rechtswegbeschwerde keine Rechtsgrundlage für eine Kosten­grundentscheidung (ähnlich für das Sozialgerichtsgesetz Beschlüsse des LSG für das Land Nordrhein-Westfalen vom 20.02.2019 ‑ L 7 AS 2024/18 B, juris, Rz 13 f., und des LSG Sachsen-Anhalt vom 08.10.2021 ‑ L 4 AS 341/21 B, juris, Rz 24 ff.). Insbesondere ist § 135 Abs. 1 FGO nicht anwendbar, da es keinen unterliegenden Beteiligten gibt, § 135 Abs. 2 FGO nicht, da kein Rechtsmittel ohne Erfolg eingelegt wurde. Dem entspricht es, dass das Kos­tenverzeichnis in Anlage 1 zu § 3 Abs. 2 des Gerichtskostengesetzes, dort ins­besondere Nr. 6500 bis 6502, für die erfolgreiche Beschwerde keinen Gebüh­rentatbestand vorsieht.