Steuern & Recht

BFH: Schadenersatz wegen Datenschutzverstößen durch das Finanzamt – hohe Hürden für Steuerpflichtige

BFH-Beschluss vom 15.09.2025 – IX R 11/23

Kurzüberblick

Der Bundesfinanzhof (BFH) hat erstmals entschieden, unter welchen Voraussetzungen Steuerpflichtige Schadenersatz nach Art. 82 DSGVO gegen eine Finanzbehörde geltend machen können.
Die Kernaussage: Ohne vorherigen Antrag beim Finanzamt ist eine Klage unzulässig.

1. Ausgangslage: Datenschutzverstöße durch Finanzbehörden

Finanzämter verarbeiten in großem Umfang hochsensible personenbezogene Daten. Kommt es dabei zu Datenschutzverstößen, sieht Art. 82 DSGVO grundsätzlich einen Schadenersatzanspruch vor – auch gegenüber staatlichen Stellen.

Bislang war jedoch unklar, wie dieser Anspruch prozessual korrekt durchzusetzen ist, insbesondere im Steuerrecht.

2. Der Streitfall

Die Steuerpflichtige war der Auffassung, dass das Finanzamt gegen datenschutzrechtliche Vorschriften verstoßen habe.
Sie erhob direkt Klage beim Finanzgericht auf Schadenersatz nach Art. 82 DSGVO.

Das Finanzgericht Berlin-Brandenburg wies die Klage ab:

  • Ein konkreter Schaden sei nicht erkennbar.

Der BFH bestätigte zwar das Ergebnis – aber aus einem anderen, für die Praxis entscheidenden Grund.

3. Entscheidung des BFH: Klage ohne Vorverfahren unzulässig

Der BFH stellt klar:

▶️ Zwingende Voraussetzung für eine Klage

Ein Schadenersatzanspruch nach Art. 82 DSGVO muss zunächst außergerichtlich bei der verantwortlichen Finanzbehörde geltend gemacht werden.

Erst wenn:

  • das Finanzamt den Anspruch ablehnt oder
  • nicht innerhalb angemessener Zeit entscheidet,

liegt eine sogenannte Beschwer vor, die Voraussetzung für eine Klage ist.

➡️ Ohne vorherige Ablehnung ist die Klage unzulässig.

4. Keine „stille Klageerweiterung“ im laufenden Verfahren

Besonders praxisrelevant ist ein weiterer Punkt:

Der BFH stellt klar, dass ein Schadenersatzanspruch nach Art. 82 DSGVO nicht einfach in ein bereits laufendes finanzgerichtliches Verfahren „hineingezogen“ werden kann, z. B.:

  • Einspruchs- oder Klageverfahren zu Steuerbescheiden
  • Verfahren wegen Auskunfts- oder Akteneinsichtsrechten

➡️ Eine solche nachträgliche Geltendmachung ist eine unzulässige Klageerweiterung.

5. Was bedeutet das für Steuerpflichtige?

✅ Was erforderlich ist:

  1. Konkreter Datenschutzverstoß
  2. Nachweisbarer materieller oder immaterieller Schaden
  3. Vorherige außergerichtliche Geltendmachung beim Finanzamt
  4. Erst danach: Klage beim Finanzgericht

❌ Was nicht funktioniert:

  • Sofortige Klage ohne Antrag beim Finanzamt
  • „Automatischer“ Schadenersatz bei Datenschutzverstoß
  • Klageerweiterung in laufenden Steuerverfahren

6. Bedeutung für die Praxis

Das Urteil zeigt:

  • Schadenersatz gegen Finanzbehörden ist rechtlich möglich,
  • aber prozessual streng begrenzt.

Der BFH schützt damit:

  • die Selbstkontrollmöglichkeit der Verwaltung,
  • und verhindert vorschnelle Gerichtsverfahren ohne Vorbefassung der Behörde.

7. Fazit

Datenschutzverstöße des Finanzamts führen nicht automatisch zu Schadenersatz.
Wer Ansprüche nach Art. 82 DSGVO geltend machen will, muss strukturiert und formal korrekt vorgehen.

👉 Erst Antrag beim Finanzamt, dann Klage.

Eine frühzeitige rechtliche Prüfung ist dringend zu empfehlen – insbesondere, um:

  • Erfolgsaussichten realistisch einzuschätzen
  • und formale Fehler zu vermeiden.