Rechtsweg für Schadenersatz nach der DSGVO

Leitsatz

Für die Geltendmachung von Schadenersatzansprüchen gegen Finanzbehörden wegen behaupteter Verstöße gegen die DSGVO ist der Finanzrechtsweg gegeben.

Normenkette

§ 32i Abs. 2 AO, Art. 4 Nr. 2 und Nr. 7, Art. 82 EUV 679/2016 (= DSGVO), § 33 Abs. 1 Nr. 4 FGO, § 17a GVG, § 40 Abs. 2 VwGO

Sachverhalt

Der Kläger machte mit seiner Klage beim FG unter Berufung auf die DSGVO verschiedene datenschutzrechtliche Ansprüche gegen das FA geltend, darunter einen Schadenersatzanspruch nach Art. 82 DSGVO. Das FG trennte das Verfahren betreffend Schadenersatz ab, erklärte den Finanzrechtsweg für unzulässig und verwies das Verfahren nach § 17a Abs. 1 GVG an das örtliche LG (FG Berlin-Brandenburg, Beschluss vom 27.10.2021, 16 K 16155/21, Haufe-Index 14950796).

Entscheidung

Auf die Beschwerden des Klägers und des FA hob der BFH den Verweisungsbeschluss des FG auf. Für die Klage gegen das FA, mit der Schadenersatzansprüche nach Art. 82 DSGVO geltend gemacht würden, sei der Finanzrechtsweg gegeben.

Hinweis

1. Einfachgesetzlich ist der Finanzrechtsweg für den Schadenersatzanspruch aus Art. 82 DSGVO gemäß § 33 Abs. 1 Nr. 4 FGO i.V.m. § 32i Abs. 2 Satz 1 AOeröffnet.

a) Nach § 33 Abs. 1 Nr. 4 FGO ist in anderen als den in den Nrn. 1 bis 3 bezeichneten öffentlich-rechtlichen Streitigkeiten der Finanzrechtsweg gegeben, soweit er für diese durch Bundesgesetz oder Landesgesetz eröffnet ist. Nach § 32i Abs. 2 Satz 1 AO (vormals § 32i Abs. 2 AO) ist für Klagen der betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person der Finanzrechtsweg gegeben.

b) Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

c) Eine Klage auf einen solchen Schadenersatz ist eine Klage"hinsichtlich der Verarbeitung personenbezogener Daten [...] wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der [DSGVO]" i.S.d. § 32i Abs. 2 Satz 1 Alternative 1 AO.

Nach Art. 4 Nr. 2 DSGVO ist "Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff umfasst, wie die folgende beispielhafte Aufzählung verdeutlicht, jeglichen Umgang mit Daten. Ein Verstoß gegen die DSGVO, wie ihn Art. 82 DSGVO verlangt, ist deshalb ohne Verarbeitung nicht denkbar.

d) Aus § 40 Abs. 2 Satz 1 VwGO, der für Schadenersatzansprüche aus der Verletzung öffentlich-rechtlicher Pflichten, die nicht auf einem öffentlich-rechtlichen Vertrag beruhen, den ordentlichen Rechtsweg vorsieht, folgt einfachgesetzlich schon deshalb nichts Gegenteiliges, weil § 32i Abs. 2 AO nur als lex specialis zu dieser Vorschrift verstanden werden kann.

2. Beim Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO handelt es sich nicht um einen Amtshaftungsanspruch i.S.d. Art. 34 Satz 1 GG. Art. 34 Satz 3 GG begründet somit nicht die Zuständigkeit der allgemeinen ordentlichen Gerichte.

a) Die Rechtsweggarantie des Art. 34 Satz 3 GG hat, soweit sie den Anspruch gegen die Anstellungskörperschaft betrifft, allein die übergeleitete Haftung des Amtsträgers zum Gegenstand, nicht hingegen Ansprüche aus unmittelbarer Staatshaftung. Die in Art. 34 Satz 1 GG angesprochene Amtspflicht ist die Pflicht des Amtsträgers persönlich. Art. 34 GG leitet die durch § 839 BGB begründete persönliche Haftung des Beamten auf den Staat über. § 839 BGB ist die haftungsbegründende Vorschrift, während Art. 34 GG die haftungsverlagernde Norm darstellt. Art. 34 Satz 3 GG erfasst neben dem Rückgriffsanspruch gegen den Amtsträger nur die Ansprüche des Art. 34 Satz 1 GG, namentlich den Schadenersatzanspruch gegen den Amtsträger selbst sowie den übergeleiteten Haftungsanspruch gegen den Staat.

b) Der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO erfüllt nicht diese Anforderungen des Art. 34 GG. Er richtet sich gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Sowohl der Begriff des Verantwortlichen als auch der des Auftragsverarbeiters ist mithin institutionell zu verstehen. Soweit in einer Behörde Daten verarbeitet werden, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher i.S.d. DSGVO und folglich auch nicht Adressat des Anspruchs. Der Anspruch richtet sich vielmehr unmi...