Schadensersatz gegen Finanzamt wegen DSGVO?
Auch nur mit Wasser kocht das Finanzamt. Es werden Fehler gemacht. Eine häufige Quelle ist hierfür der Datenschutz. Welche Vorschriften gelten, wenn Sie als Steuerpflichtiger dabei Schaden nehmen? Der Bundesfinanzhof hat Regeln für Ansprüche auf Schadenersatz aufgestellt.
Welche Vorschriften gelten für die Datenverarbeitung durch die Finanzbehörden?
Die Regelungen
- der Datenschutz-Grundverordnung (DSGVO) und
- der Abgabenordnung (AO)
Sie sind am 25.05.2018 in Kraft getreten.
Was sind die Probleme hierbei?
Oftmals geht es um die Akteneinsicht. Es ist durchaus nicht unüblich, dass sie, wenn, dann sehr begrenzt gewährt wird. Selbst als Rechtsanwalt können Sie eigene Akten oder die Ihrer Mandantschaft nur in den Räumen eines Gerichts oder einer Behörde einsehen. Auch hier muss das unter Aufsicht eines im öffentlichen Dienst stehenden Bediensteten geschehen.
Ein anderes Problem betrifft die Anwendbarkeit der DSGVO auf die Datenverarbeitung sämtlicher durch das Finanzamt verwalteten Steuern. Das Finanzgericht (FG) München hat sich umfassend mit dem Begriff des Personenbezugs sowie der manuellen oder ganzen oder teilautomatisierten Verarbeitung personenbezogener Daten auseinandergesetzt und näher zur datenschutzrechtlichen Behandlung umfangreicher Aktensammlungen Stellung genommen (FG München, Urteil vom 4.11.2021, Az. 15 K 118/20).
Die Anzahl der Gerichtsentscheidungen zu DSGVO-Schadensersatzansprüchen steigt und steigt.
Welches Problem gab es bei Schadensersatzansprüchen gegen Finanzbehörden?
Es geht um die Frage, welcher Rechtsweg hier zu nehmen ist. Hier hat der Bundesfinanzhof eine wichtige Entscheidung gefällt.
Worum ging es in dem Fall?
Ein Steuerpflichtiger klagte verschiedene datenschutzrechtliche Ansprüche gegen das Finanzamt ein, darunter einen Schadensersatzanspruch auf Schmerzensgeld gemäß Art. 82 DSGVO.
Vor welchem Gericht wollte der Steuerpflichtige seinen Anspruch durchsetzen?
Vor dem Finanzgericht (FG).
War das der richtige Rechtsweg?
Das nahm der Steuerpflichtige irrigerweise an. Denn das Finanzgericht sah das anders. Es hörte ihn und das beklagte Finanzamt an und gelangte dann zu der Ansicht, das es wohl der richtige Ansprechpartner für die anderen Angelegenheiten sei, aber nicht für den Schadensersatzanspruch nach DSGVO. Es erklärte den Finanzrechtsweg für unzulässig. Es trennte das Verfahren hierzu ab und verwies dieses an das örtliche Landgericht (LG).
Worauf stützte das FG seine Entscheidung?
Auf eine ausdrückliche Zuständigkeitsregelung des § 40 Abs. 2 der Verwaltungsgerichtsordnung (VwGO). Danach sei der Rechtsweg zu den ordentlichen Gerichten, d.h. den Zivilgerichten, gegeben. Das Schadenersatzbegehren sei keine Abgabenangelegenheit, so dass eine Zuständigkeit des FG weder nach Nr. 1 von Abs. 1 des § 33 der Finanzgerichtsordnung (FGO) noch nach dessen Nr. 4 und auch nicht nach § 32i Abs. 2 der Abgabenordnung (AO) gegeben sei.
Übrigens auch das Finanzamt vertrat übereinstimmend mit dem Steuerpflichtigen die Auffassung, § 32i Abs. 2 AO erfasse auch Schadenersatzansprüche. Dem widersprach das FG. Letztere Vorschrift beschränke sich auf öffentlich-rechtliche Klagen betroffener Personen gegen Finanzbehörden hinsichtlich der Verarbeitung personenbezogener Daten wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen.
Selbst wenn sie dem Wortlaut nach auch Schadenersatzansprüche wegen Verletzung der DSGVO meinte, wäre sie verfassungskonform (Art. 34 Satz 3 des Grundgesetzes, GG) dahingehend auszulegen, dass sie Schadenersatzansprüche gegen den Staat wegen Verletzung der DSGVO nicht erfasse. Die Verfassung nehme die Rechtswegspaltung in Kauf. Art. 82 Abs. 6 DSGVO und Art. 79 Abs. 2 DSGVO stünden nicht einer innerstaatlichen Rechtswegspaltung entgegen, sondern regele nur die internationale Zuständigkeit.
War der Steuerpflichtige damit einverstanden?
Nein, er sah darin eine Schmälerung seines Rechtsschutzes. Die Klagewege wurden damit gespalten. Für den Zivilrechtsweg vor dem FG wären zusätzliche Kosten für ihn angefallen. Immerhin ließ das FG die Beschwerde nach § 17a Abs. 1 des Gerichtsverfassungsgesetzes (GVG) zu. Steuerpflichtiger und Finanzamt folgten dieser Erlaubnis. Beide legten daher beim Bundesfinanzhof (BFH) Beschwerde ein.
Mit Erfolg vor dem BFH?
Ja, der BFH gab ihm recht. Der Hof entschied, dass der Finanzrechtsweg für den Schadensersatzanspruch aus Art. 82 DSGVO eröffnet sei. Er folgte dabei der Auslegung des FG von § 32i Abs. 2 Satz 1 AO nicht. Vielmehr sei diese Vorschrift sehr wohl für Klagen hinsichtlich der Verarbeitung personenbezogener Daten gegen Finanzbehörden wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person der Finanzrechtsweg gegeben.
Was sagte der BFH zu den verfassungsrechtlichen Vorbehalten des FG?
Auch aus verfassungsrechtlichen Gründen ergäbe sich keine Zuständigkeit der Zivilgerichte für den streitigen Schadensersatzanspruch. Der Schadensersatzanspruch aus Art. 82 DSGVO sei kein typischer Amtshaftungsanspruch im Sinne des Art. 34 Satz 1 GG, für den der Zivilrechtsweg gelte (BFH, Beschlüsse vom 28.06.2022, Az.: II B 92/21 und II B 93/21).
Was besagt Art. 82 Abs. 1 DSGVO?
Danach hat jemand, dem wegen eines Verstoßes gegen diese Verordnung ein Schaden entstanden ist, Anspruch auf Schadensersatz, „jemand“ im Sinne einer natürlichen Person, nicht einer juristischen Person. Die DSGVO bezwecke allein den Schutz natürlicher Personen vor einer unberechtigten Verarbeitung personenbezogener Daten.
Gerichtet ist der Anspruch gegen Verantwortliche gemäß Art. 4 Nr. 7 DSGVO in der Regel:
- eine natürliche oder juristische Person
- Behörde
- Einrichtung
- andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet
- Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO analog zu Nr. 7
- eben auch Finanzbehörden als Anspruchsgegner
Gegen welche Art von Verstößen kann Anspruch auf Schadensersatz bestehen?
Erforderlich ist ein Verstoß gegen die DSGVO wie z.B.:
- fehlende oder unvollständige Auskunft über die Datenverarbeitung
- fehlende oder unvollständige Löschung von personenbezogenen Daten
- unbeabsichtigte Offenlegung von personenbezogenen Daten im Internet wegen mangelnder IT-Sicherheit
- Verlust von personenbezogenen Daten nach einem Hackerangriff
- Weitergabe personenbezogener Daten an nicht zum Empfang berechtigte Personen
Darüber hinaus kommen zahlreiche andere Fälle in Betracht, die einen Schadensersatzanspruch nach Art. 82 DSGVO auslösen können, wie etwa die unberechtigte Videoüberwachung am Arbeitsplatz.
Weiterhin muss bei der betreffenden Person ein Schaden eingetreten sein. Dieser kann materieller Art (etwa Kosten der Rechtsverfolgung) oder immaterieller Art (etwa Schmerzen) sein. Probleme bestehen häufig dabei, dem Gericht das Vorliegen eines konkreten Schadens darzulegen und diesen nachzuweisen. Speziell beim immateriellen Schaden stellt sich etwa die Frage, wie ein solcher bei einer verspäteten Auskunft über die personenbezogenen Daten oder einer datenschutzwidrigen Verwendung einer E-Mail-Adresse zu Werbezwecken aussehen soll. Der Blog „CMS Deutschland“ gibt einen Überblick aktueller Entwicklungen und Urteile mit Aufschlüsselung der verschiedenen Arten von Verstößen.
Zudem ist es erforderlich, dass der eingetretene Schaden das Kausalitätserfordernis erfüllt.
Was bedeutet Kausalitätserfordernis?
Dass der Schaden eine direkte Folge des Verstoßes gegen die DSGVO ist. Die Frage nach der Kausalität wird im Sozialrecht hauptsächlich im Zusammenhang mit Versicherungsfällen der gesetzlichen Unfallversicherung gestellt, bei denen es darum geht, den Ursachenzusammenhang zwischen Unfall und den daraus resultierenden Folgen zu erkennen. Auch bei Berufskrankheiten, Arbeitsunfällen sowie im sozialen Entschädigungsrecht wird nach diesem Zusammenhang gesucht.
Das Sozialrecht spricht von der „rechtlich wesentlichen Bedingung“, die für all jene Versicherungsfälle von Bedeutung ist und welche nach der sogenannten Conditio-sine-qua-non-Formel begutachtet wird. Wörtlich aus dem Lateinischen übersetzt heißt dies „Bedingung, ohne die nicht…“.
Für die erfolgreiche Durchsetzung von Schadensersatzansprüchen, die sich gegebenenfalls aufgrund des Unfallereignisses ergeben können, muss der Gesundheitsschaden zweifelsfrei aufgrund des Unfalles entstanden sein (OLG Saarbrücken, 29.11.2005, 4 U 501/03-6/05). Ist anzunehmen, dass besagter Gesundheitsschaden auch ohne das Unfallereignis eingetreten wäre, ist dieses nicht als ursächlich für den Schaden anzusehen – die Kausalität wäre somit nicht gegeben. Dieselbe Regelung gilt für Berufskrankheiten, für die die gesetzliche Unfallversicherung zahlungspflichtig ist, wenn anzunehmen ist, dass diese tatsächlich aufgrund einer Tätigkeit in einem für die Gesundheit schädlichen Bereich entstanden ist (SG Karlsruhe, 20.02.2008, S 1 U 812/07).
Hätte das Finanzgericht den Anspruch als Bagatelle ablehnen können?
Nein, nationale Gerichte dürfen einen Schadensersatzanspruch nicht ablehnen, wenn der Verstoß nach objektiven Maßstäben eine Bagatelle darstellt (Bundesverfassungsgericht, BVerfG, Beschluss vom 14.01.2021, Az.: 1 BvR 2853/19). Die nationalen Gerichte sind danach von Amts wegen gehalten, den Gerichtshof der Europäischen Union (EuGH) als gesetzlichen Richter im Sinne des Art. 101 Abs. 1 Satz 2 GG anzurufen. Es kann einen Entzug des gesetzlichen Richters darstellen, wenn ein nationales Gericht seiner Pflicht zur Anrufung des Gerichtshofs im Wege des Vorabentscheidungsverfahrens nach Art. 267 Abs. 3 AEUV nicht nachkommt.
Nach der Rechtsprechung des EuGH muss ein nationales letztinstanzliches Gericht seiner Vorlagepflicht nachkommen, wenn sich in einem bei ihm schwebenden Verfahren eine Frage des Unionsrechts stellt, es sei denn, das Gericht hat festgestellt, dass die gestellte Frage nicht entscheidungserheblich ist, dass die betreffende unionsrechtliche Bestimmung bereits Gegenstand einer Auslegung durch den Gerichtshof war (acte éclairé) oder dass die richtige Anwendung des Unionsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt (acte clair). Eine Ablehnung des Anspruchs, gestützt auf ein Merkmal fehlender Erheblichkeit oder eines Bagatellverstoßes, ist so weder unmittelbar in der DSGVO angelegt noch von der Literatur befürwortet oder vom EuGH verwendet.
Hätte der Schadensersatzanspruch ausgeschlossen sein können?
Ja, wenn sich der Verantwortliche oder der Auftragsverarbeiter entlasten können. Dazu hätte dieser nachweisen müssen, dass er in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist (Art. 82 Abs. 3 DSGVO).