Bundesfinanzhof stellt Datenschutz-Klagen gegen Finanzämter neue Hürden
25.12.2025 - 20:34:12Der Bundesfinanzhof verlangt nun ein Vorverfahren bei Finanzämtern, bevor Steuerzahler wegen Datenschutzverstößen klagen dürfen. Dies verschärft den Zugang zu den Gerichten.
Wer von seinem Finanzamt wegen einer Datenschutzverletzung Schadenersatz will, muss künftig zuerst den Dienstweg gehen. Der Bundesfinanzhof (BFH) hat eine zentrale Verfahrensvoraussetzung für solche Klagen verschärft.
In einem Grundsatzbeschluss vom 15. September 2025, der vergangene Woche veröffentlicht wurde, stellt das oberste Steuergericht klar: Steuerpflichtige können nicht direkt beim Finanzgericht klagen, ohne zuvor beim Finanzamt selbst einen Schadenersatzantrag gestellt und eine Ablehnung erhalten zu haben. Diese neue „administrative Schleuse“ soll vorschnelle Klagen ausfiltern und den Behörden Gelegenheit geben, Ansprüche außergerichtlich zu prüfen oder zu erfüllen.
Keine Klage ohne vorherigen Ablehnungsbescheid
Der Beschluss (IX R 11/23) beantwortet eine grundsätzliche Frage zur Zulässigkeit von Verfahren vor den Finanzgerichten. Das Gericht entschied, dass eine Klage auf immateriellen Schadenersatz nach Artikel 82 der DSGVO unzulässig ist, wenn der Kläger seinen Anspruch nicht zuvor gegenüber der Finanzbehörde geltend gemacht und eine Zurückweisung erhalten hat.
Rechtsexperten, die die Entscheidung diese Woche analysierten, betonen die Rolle des Begriffs der „Beschwer“. Im deutschen Steuerprozessrecht muss ein Kläger durch einen Verwaltungsakt oder ein Unterlassen beschwert sein, um klagebefugt zu sein. Der BFH argumentierte: Ohne eine vorherige Ablehnung der Schadenszahlung durch das Finanzamt liege diese notwendige Beschwer nicht vor.
„Das Urteil wirkt als Verfahrenspforte“, kommentierten Analysten von PwC. „Es verhindert, dass die Finanzgerichte als erste Instanz für Schadensersatzansprüche genutzt werden, die die Finanzbehörden selbst noch nicht prüfen konnten.“
Konkreter Fall: Weitergabe einer Mobilfunknummer
Der zugrundeliegende Streitfall begann mit dem Vorwurf eines Steuerpflichtigen, sein Finanzamt habe bei einer Außenprüfung datenschutzwidrig gehandelt. Konkret wurde behauptet, das Amt habe eine Mobilfunknummer unrechtmäßig an die Oberste Landesfinanzbehörde weitergegeben.
Der Kläger umging den behördlichen Widerspruchsweg und erhob direkt Klage beim Finanzgericht Berlin-Brandenburg. Dieses wies die Klage bereits im März 2023 ab, da kein feststellbarer Schaden entstanden sei. Der BFH bestätigte zwar die Abweisung, aber aus einem anderen Grund: Die Klage sei von vornherein unzulässig gewesen, weil das zwingende Vorverfahren umgangen wurde.
BFH betont Vorrang des Verwaltungswegs
Die Begründung des BFH unterstreicht die Eigenständigkeit des Verwaltungsverfahrens. Die Finanzbehörde müsse die „Gelegenheit haben, den Schadenersatzanspruch außergerichtlich zu prüfen und darüber zu entscheiden“. Dies gelte selbst dann, wenn bereits ein Rechtsstreit über die zugrundeliegende Datenschutzverletzung anhängig ist. Ein Kläger könne nicht einfach eine bestehende Klage um einen Schadensersatzanspruch „erweitern“, ohne diesen zuvor behördlich geltend gemacht zu haben.
Lücken im DSGVO-Verarbeitungsverzeichnis können teuer werden – Bußgelder bis zu 2% des Jahresumsatzes drohen, wenn Dokumentationspflichten fehlen. Für Datenschutzverantwortliche und Beratungspraxen bietet eine kostenlose Excel-Vorlage das komplette Verzeichnis nach Art. 30 DSGVO: editierbare Felder, Muster-Einträge und eine Schritt-für-Schritt-Anleitung für prüfungsreife Dokumentation. Enthält zudem Praxisbeispiele und prüfungsreife Formulierungen für Behördenkontakte. Verarbeitungsverzeichnis kostenlos herunterladen
Damit stellt das Gericht die Behandlung von DSGVO-Schadensersatzansprüchen gleich mit anderen steuerrechtlichen Streitigkeiten, für die ein Vorverfahren typischerweise obligatorisch ist. Zwar gewähre Artikel 82 DSGVO ein direktes Recht auf Entschädigung, doch nationale Verfahrensregeln bestimmten, wie dieses Recht durchgesetzt wird – solange die Durchsetzung nicht unmöglich oder übermäßig erschwert werde.
Spannungsfeld: Unterschiedliche Linien der Höchstgerichte?
Das Urteil fällt in eine Zeit reger Rechtsprechung zu DSGVO-Schadensersatz in Deutschland. Während der BFH den Verfahrenszugang verschärft, hat der Bundesgerichtshof (BGH) kürzlich die inhaltliche Schwelle für Schäden gesenkt.
In einem Grundsatzurteil Ende 2024 entschied der BGH, dass schon ein bloßer „Kontrollverlust“ über personenbezogene Daten einen immateriellen Schaden darstellen kann. Das erleichtert die Geltendmachung von Ansprüchen gegen private Unternehmen vor Zivilgerichten erheblich.
Die aktuelle BFH-Entscheidung zeigt jedoch: Während die materiell-rechtliche Hürde für Schadensersatz sinken mag, bleibt der verfahrensrechtliche Weg gegen den Staat – konkret die Finanzverwaltung – streng geregelt. Steuerzahler können die BGH-Rechtsprechung zum Kontrollverlust nicht nutzen, um sofort zu klagen. Sie müssen zuerst den behördlichen Weg beschreiten.
„Der BFH sagt den Steuerpflichtigen effektiv: ‚Selbst wenn ihr einen validen Anspruch nach Art. 82 habt, müsst ihr die korrekte administrative Reihenfolge einhalten‘“, erklären Kommentatoren in der Fachzeitschrift Der Betrieb. „Man kann das Finanzamt nicht überspringen, um zum Richter zu gelangen.“
Klarer Fahrplan für Steuerzahler und Berater
Die Entscheidung schafft Rechtssicherheit und liefert einen klaren Handlungsfahrplan:
1. Datenschutzverletzung identifizieren.
2. Formalen Schadenersatzantrag beim zuständigen Finanzamt stellen.
3. Auf einen förmlichen Ablehnungsbescheid warten.
4. Erst dann Klage beim Finanzgericht erheben.
Für die Finanzverwaltung wirkt das Urteil als Puffer gegen eine potenzielle Klagewelle und gibt ihr das erste Wort bei der Streitbeilegung. Gleichzeitig verpflichtet es die Behörden, funktionierende interne Prozesse zur zeitnahen Prüfung solcher Ansprüche zu etablieren.
Rechtsexperten erwarten für 2026 weitere Klärungen dazu, wie Finanzgerichte die Schadenshöhe bemessen, sobald diese Verfahrenshürden genommen sind. Da BGH und Europäischer Gerichtshof den Entschädigungsbegriff bereits ausweiten, wird es wohl nur eine Frage der Zeit sein, bis sich der BFH auch mit der Höhe des Schadenersatzes für steuerbezogene Datenschutzverstöße befassen muss.
Die Botschaft aus München ist vorläufig eindeutig: Das Verfahren ist genauso wichtig wie der Verstoß selbst.
PS: Für Datenschutzbeauftragte, Steuerberater und Verantwortliche in Behörden: Erstellen Sie schnell ein prüfungssicheres Verzeichnis der Verarbeitungstätigkeiten. Die kostenlose Excel-Vorlage führt Sie in unter einer Stunde durch alle Pflichtfelder, enthält Praxisbeispiele und eine Bedienungsanleitung – ideal, um dokumentiert auf behördliche Anfragen oder mögliche Schadenersatzforderungen reagieren zu können. Jetzt Verarbeitungsverzeichnis gratis sichern
